海康运行管理中心session命令执行漏洞

今天晚上早睡觉

已于 2024-03-26 15:34:47 修改

阅读量381

点赞数 12

分类专栏：漏洞复现文章标签： web安全

于 2024-03-26 15:10:01 首次发布

本文链接：https://blog.csdn.net/weixin_43567873/article/details/137047099

版权

漏洞复现专栏收录该内容

361 篇文章 71 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

简介

海康某视是以视频为核心的智能物联网解决方案和大数据服务提供商。海康运行管理中心是一款功能强大、易于使用的安防管理平台，能满足用户对视频监控、报警管理、设备配置和数据统计等方面的需求，帮助用户建立高效、智能的安防系统。

漏洞描述

海康某视运行管理中心系统存在低版本Fastjson远程命令执行漏洞，攻击者可在未鉴权情况下获取服务器权限，且由于存在相关依赖，即使服务器不出网无法远程加载恶意类也可通过本地利用链直接命令执行，从而获取服务器权限。

Fofa语法与漏洞编号

FOFA：

header="X-Content-Type-Options: nosniff" && body="<h1>Welcome to OpenResty!</h1>" && header="X-Xss-Protection: 1; mode=block"

影响资产数量：3,594

CNVD漏洞编号：无

影响版本

了解本专栏

订阅专栏解锁全文

超级会员免费看

优惠劵

今天晚上早睡觉

关注关注

12
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
海康运行管理中心session命令执行漏洞

海康运行管理中心session命令执行漏洞
复制链接

扫一扫

专栏目录

订阅专栏

海康运行管理中心 RCE漏洞复现

0xSec

11-28

2069

海康运行管理中心系统使用低版本的fastjson，攻击者可在未鉴权情况下获取服务器权限，且由于存在相关依赖，即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行，从而获取服务器权限。

【1day】复现海康综合安防管理平台 applyCT Fastjson远程命令执行漏洞

记录并分享学习安全的知识点..

07-24

577

海康威视综合安防管理平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度，海康综合安防管理平台 applyCT 存在低版本Fastjson远程命令执行漏洞，攻击者通过漏洞可以执行任意命令获取服务器权限。

参与评论您还未登录，请先登录后发表或查看评论

某康运行管理中心session命令执行漏洞

qq_39894062的博客

03-28

334

【漏洞复现】Hikvision综合安防管理平台Fastjson命令执行漏洞

晚风不及你

01-23

685

Hikvision（海康威视）是一家在中国颇具影响力的安防公司，其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。

海康威视综合安防管理平台Fastjson远程命令执行漏洞

holyxp的博客

07-24

1570

综合安防管理平台基于 " 统一软件技术架构" 理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。

海康威视运行管理中心 Fastjson RCE

Keepb1ue的博客

12-21

2751

海康威视运行管理中心系统存在低版本Fastjson远程命令执行漏洞，攻击者可在未鉴权情况下获取服务器权限，且由于存在相关依赖，即使服务器不出网无法远程加载恶意类也可通过本地利用链直接命令执行，从而获取服务器权限。

海康linux 命令,海康摄像机命令行

weixin_28308325的博客

04-30

1770

BusyBox v1.2.1 Protect Shell (psh) ver: MT-1494accessDvrSwitchatclearExcepcloseIRISdbgGuidebugCmddebugDspdebugLogdecStatdialPowerCtrldisableHBdisableWatchdogdmesgdspStatusenable3GOSDenableHBenableWatc...

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞

nnn2188185的博客

04-26

853

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，该漏洞可执行系统命令，直接获取服务器权限。

海康威视IP网络对讲广播系统命令执行漏洞(CVE-2023-6895)

Keepb1ue的博客

12-20

1799

Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞，该漏洞源于文件/php/ping.php的参数jsondata[ip]会导致操作系统命令注入。

海康摄像头CVE-2021-36260漏洞复现

最新发布

m0_65858385的博客

05-13

900

功能：本路由器针对某个区域产生的路由信息和拓扑信息（因为OSPF是一个状态型路由协议），比如该拓扑中R1的所有都在area 1中，所以R1针对area 1中只产生一条LSA而这条LSA包含了R1在该区域的路由信息和拓扑信息，R2针对area 1区域产生一条LSA，在area 0中也产生一条一类LSA，但这两条一类LSA不一样，area1中是R2在area1中的路由信息与拓扑信息，area0中是R2在area0中的路由信息与拓扑信息，所以在area1中有两条一类LSA。发送的是BDB报文进行主从选举。

web安全之登录框渗透骚姿势，新思路

qq_47289634的博客

05-10

519

越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包，来观察不同之处，有的时候替换一下响应包就直接越权，其中特别要关注的是uid，这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对，非常直观。width=500&height=100导致可以随意更改大小，配合脚本批量请求，很容易就会把带宽占满，造成dos攻击。不管漏洞挖掘还是挖SRC，登录框都是重点关注对象，什么漏洞都有可能出现，登录框也是框，见框就插就对了，说不定会有奇效。看到登录框，输入信息后，抓包。

＜网络安全＞《83 微课堂＜国家数据要素总体框架＞》

Else 的博客

05-10

658

国家数据要素化总体框架由“六横两纵”共八个关键环节构成。

海康运行管理中心 fastjson

12-24

海康运行管理中心是一个全球领先的视频监控解决方案和智能交通系统提供商。它包含了众多先进的技术和功能，其中就包括了 fastjson。 fastjson 是一个高性能的 Java 语言的 JSON 解析器/生成器。它的特点是速度快、内存消耗低，是当前 Java JSON 库中性能最好的选择之一。在海康运行管理中心中，fastjson 被应用于数据传输、存储和解析。通过 fastjson，海康运行管理中心可以高效地处理大量的 JSON 数据，确保系统的稳定性和性能。在海康运行管理中心的实际应用中，fastjson 最常见的用途之一是解析来自监控摄像头和其他设备的数据。这些数据会以 JSON 格式传输到管理中心，fastjson 可以快速而准确地解析这些数据，并将其转化为系统可以直接使用的格式，从而实现对监控画面和设备状态的实时监测和管理。此外，海康运行管理中心也利用 fastjson 在系统内部进行数据交互。各个模块之间需要频繁地传递和处理 JSON 格式的数据，fastjson 的高性能和低内存消耗保证了这些数据传输过程的高效性和稳定性。总的来说，fastjson 在海康运行管理中心中扮演了重要的角色，它为系统的高效运行和稳定性提供了可靠的支持。通过 fastjson，海康运行管理中心可以更好地处理和管理大量的 JSON 数据，从而为用户提供更加可靠和优质的视频监控和智能交通解决方案。

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交