通天星-loadserverloggerfile-信息泄露(含批量验证poc)

已于 2024-04-15 20:33:42 修改
阅读量44 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-04-15 20:33:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137794497
版权
通天星CMSV6是一款车载视频监控平台,存在信息泄露漏洞。攻击者能通过SelectDevAction_loadServerLoggerFile接口获取敏感信息。文章介绍了漏洞概述、网络测绘及漏洞复现过程。
摘要由CSDN通过智能技术生成

产品简介

通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限 公司研发的监控平台,通天星 搜索 评论 笔记 F载录像机、单兵录像
机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星和科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控,还应用在家居看护、商铺远程程监控、私家车的行驶分享仪上等

漏洞概述

通天星CMSV6车载视频监控平台SelectDevAction_loadServerL oggerFile接口存在一个信息泄漏漏洞,攻击者可以通过构造精心设计的请求,获得系统内的敏感信息,导致信息泄露。

网络测绘

fofa 搜索 body=”808gps”

漏洞复现

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
【漏洞复现】天星-CMSV6-selectdevaction-loadwebloggerfile-信息泄露
知黑而守白
01-24 82
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台,天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。
【漏洞复现】天星-CMSV6-list-信息泄露
知黑而守白
01-24 111
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台,天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMSV6车载视频监控平台list 接口存在一个信息泄漏漏洞,攻击者可以过构造精心设计的请求,获得系统内的敏感信息,导致信息泄露
【漏洞复现】天星CMSV6信息泄露漏洞
rm -rf *
11-10 328
东莞市天星软件科技有限公司(天星CMSV6)拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,天星-CMSV6 list 存在信息泄露漏洞。
1day速达软件NET接口处存在RCE漏洞
weixin_43167326的博客
05-07 854
速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM系统,项目管理软件,OA系统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。速达软件全系产品存在任意文件上传漏洞,未经身份认证得攻击者可以过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
【漏洞复现】天星-CMSV6-selectdevaction-loadserverloggerfile-信息泄露
知黑而守白
01-24 136
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台,天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。
天星-loadwebloggerfile-信息泄露批量验证poc
weixin_43567873的博客
04-15 56
天星-loadwebloggerfile-信息泄露批量验证poc
天星-standardapiaction-vehicletts-sql注入(批量验证poc
weixin_43567873的博客
04-15 56
天星-standardapiaction-vehicletts-sql注入(批量验证poc
天星-CMSV6-list-信息泄露批量验证poc
weixin_43567873的博客
04-15 122
天星-CMSV6-list-信息泄露批量验证poc
华天动力-OA-hrapplicationformservice-信息泄露批量验证poc
weixin_43567873的博客
04-17 211
华天动力-OA-hrapplicationformservice-信息泄露批量验证poc
【漏洞复现】天星-CMSV6-standardreportmediaaction-getimage-文件读取
知黑而守白
02-26 97
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台,天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 1931
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Web安全 - 文件上传漏洞(File Upload Vulnerability)
小工匠
10-02 1845
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-29 1251
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1335
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
Web安全 - 构建全面的业务安全保护防御体系
最新发布
小工匠
10-03 2165
业务安全是公司为了保护其业务流程和用户增长而制定的防护措施,主要应对的是黑产(黑色产业)的攻击。相比传统的基础安全,业务安全的特点更加复杂,主要体现在两个方面:攻击者的产业化和资源对抗。
Web安全 - 阶段性总结回顾_风险评估
小工匠
10-03 865
WAF 的主要作用,就是对用户的输入进行检测,拦截可疑地输入。检测原理就是,普用户在应用中的输入可预测,基本不会去输入类似单引号这样可能对应用功能产生影响的输入.因此,我们只要对各类攻击类型的输入进行分析,提取出来其特征,就可以准确地识别出黑客的攻击行为并进行拦截了。但是,过最小权限原则,我们能够在最大程度上,减少黑客在窃取到用户身份后产生的危害,也就保护了数据的安全性。因此,我们可以对内网和服务器中的各类行为进行收集,对异常的行为进行“挖掘”,从而对已发生的入侵进行检测和告警。
Web安全 - 重放攻击(Replay Attack)
小工匠
10-01 1333
重放攻击(Replay Attack)是一种网络攻击方式,攻击者过截取并重复发送已经捕获的合法信数据包,企图在受害者不知情的情况下冒充合法用户进行操作。这种攻击常见于不安全的网络协议中,攻击者无需破解信内容,只需重发合法的消息即可造成安全威胁。重放攻击的潜在危害包括:未授权的交易执行、非法获取资源、数据泄露以及系统篡改等。随着网络系统的日益复杂,重放攻击仍然是一个常见的威胁,尤其是在不具备防御机制的旧协议或自定义信方案中。使用缓存减少存储开销。利用异步处理避免阻塞主线程。
网络安全(黑客)——自学2024
2401_84466325的博客
09-28 2802
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值