海康威视-综合安防管理平台-files-文件读取

已于 2024-03-13 21:20:02 修改
阅读量211 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-13 21:18:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136691954
版权
海康威视的HIKVISION iSecure Center平台被发现存在文件读取漏洞,允许攻击者通过files接口访问系统敏感文件。此漏洞影响平台的安全性,复现过程包括漏洞概述和POC验证。
摘要由CSDN通过智能技术生成

产品简介

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、 “智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。

漏洞概述

综合安防管理平台 files 接口处存在任意文件读取漏洞,攻击者可以读取系统任意敏感文件。

网络测绘

body="/portal/common/js/" || app="HIKVISION-iSecure-Center" || body="/portal/ui/static/" || header="X-Application-Context: portal"

漏洞复现

GET /lm/api/fi
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
Hikvision综合安防管理平台files;.css接口存在任意文件读取漏洞
weixin_43567873的博客
03-09 290
Hikvision综合安防管理平台files;.css接口存在任意文件读取漏洞
海康威视iVMS-8700综合安防管理平台 文件读取漏洞复现
0xSec
12-13 2331
HIKVISION iVMS 综合安防管理平台download接口处存在任意文件读取漏洞,攻击者通过构造token绕过身份认证,读取服务器中的目录信息与敏感文件。使系统处于极不安全的状态。
02_【复现】海康威视综合安防管理平台任意文件读取
fushuang333的博客
12-29 1132
海康威视综合安防管理平台任意文件读取海康威视综合安防管理平台是一款基于云计算、大数据、人工智能技术构建的智能化综合安防平台
海康威视综合安防管理平台 files 文件读取漏洞
m0_71285176的博客
01-10 2015
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。在其某接口处存在任意文件读取漏洞,攻击者可以读取系统任意敏感文件
hik综合安防管理平台密码重置工具
03-13
hik综合安防管理平台密码重置工具
「漏洞复现」海康威视-综合安防管理平台-files-文件读取
知黑而守白
12-29 254
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。综合安防管理平台 files 接口处存在任意文件读取漏洞,攻击者可以读取系统任意敏感文件
【1day】复现海康威视综合安防管理平台center 接口文件上传漏洞
记录并分享学习安全的知识点..
10-17 537
​ HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。海康威视综合安防管理平台center 接口存在文件上传漏洞,,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。 ​
iSecure Center(V1.1.0)平台使用记录
热门推荐
不当初
05-02 4万+
1 简介 本文档是在操作iSecure平台时留下的记录 2 预览视频 在使用open.hikvision.com官网下载的VideoWebPlugin插件,打开其中的demo可以看到上述的界面,可以看到,需要获得appkey, secret。 IP和端口,以及监控点编号。 2.1 appkey和secret 在运行管理中心/状态监控/API网关/参数配置/API管理可以看到 http://192...
【护网必备】海康威视RCE批量检测利用工具
Fly_鹏程万里
06-01 1102
海康威视RCE漏洞批量检测和利用工具目前支持任意读取类漏洞一键利用、支持上传类漏洞一键上传哥斯拉shell等、支持配置文件加解密等。2、综合安防管理平台 iSecure Center /api/external/report任意文件上传。3、综合安防管理平台 iSecure Center /center/api/files任意文件上传。1、综合安防管理平台iSecure Center /Im/api/files任意文件读取。5、综合安防管理平台iVMS-8700/upload任意文件上传。
bmc网络配置_HikvisionOS Linux系统常用配置介绍
weixin_39598941的博客
12-12 8110
海康威视平台安装部署环境需要基于HikvisionOS Linux系统(后文简称HIKOS系统),在上一期推送中已经讲述了海康威视定制的HIKOS系统的安装过程,本期推送为大家带来HIKOS系统的首次登录和修改密码、IP配置及使用Xshell软件进入HIKOS系统底层环境的介绍,以便大家在安装完HIKOS系统后进行相关系统操作。一、首次登录和修改密码HIKOS系统安装完成后,即设置了ro...
对接海康综合安防管理平台经验总结
一颗橘子的博客
12-14 4万+
前言:因业务需要对接海康威视综合安防管理平台获得下属所管理的摄像头,根据摄像头code获得监控视频流信息 1、详情可以浏览海康开放平台,在官网上有对应的接入指南以及开放的API接口【前提是本地已部署了海康视频流媒体服务器】 2、通过海康开放平台我们看到相关的对接指南,进行开发前准备。如下图所示: 3、AK/SK可以要求甲方提供,如果是驻场开发可以在当前的局域网下通过运管中心的登录名/密码登陆该平台,通过下面的索引步骤来获得 AK/SK。 4、获得到 AK/SK后,通过参考开放的API文档,找到项目
网数中心举办CISAW安全软件教师培训 助力国家网络安全战略
qq_44969472的博客
10-15 340
他强调,CISAW安全软件人员认证应立足我国软件安全开发的特色,以服务国家网络安全战略布局为核心,通过认证结果不断带动人员能力提升,聚焦行业需求、热点和难点问题,进一步完善创新发展体系。我们相信,随着CISAW认证体系的不断完善和发展,必将为我国信息安全领域输送更多优秀的人才,助力国家信息安全事业迈上新的台阶。这一环节得到了大家的一致好评,许多教师表示,通过实际操作,他们不仅巩固了所学知识,还获得了更多的实战经验。他表示,通过这次培训,大家不仅学到了最新的技术和理念,更重要的是,明确了未来努力的方向。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-15 1175
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
最新发布
2401_85027336的博客
10-18 334
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
10-18 406
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络攻击的新趋势:勒索软件与零日漏洞
A526847的博客
10-12 1012
随着数字化技术的飞速发展网络攻击的新趋势:勒索软件与零日漏洞,网络攻击的形式也在不断演变。近年来,勒索软件和零日漏洞已成为网络攻击中的两大新趋势,给个人、企业和政府机构带来了巨大的安全威胁。本文将深入探讨这两种网络攻击手段的特点、危害以及防范措施。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1133
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞。
网络安全(黑客)——自学2024
2401_84466325的博客
10-10 2262
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值