【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

最新推荐文章于 2024-06-19 11:45:00 发布
最新推荐文章于 2024-06-19 11:45:00 发布
阅读量8.5k 收藏 15
点赞数 2
分类专栏: 漏洞复现 文章标签: 海康威视
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/130420770
版权

文章目录

前言

​海康威视综合安防管理平台存在Fastjson远程命令执行漏洞,攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

声明

本篇文章仅用于漏洞复现与技术研究,切勿将文中涉及攻击手法用于非授权下渗透攻击行为,造成任何后果与本文及作者无关,切记!!!

一、海康威视综合安防管理平台简介

综合安防管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。

二、漏洞描述

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞,该漏洞可执行系统命令,可获取到目标服务器系统权限以及敏感数据信息。

三、影响版本

未知

四、漏洞复现

FOFA: app=“HIKVISION-综合安防管理平台”
在这里插入图片描述
漏洞数据包如下:

POST /bic/ssoService/v1/applyCT HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firef
了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现】Hikvision综合安防管理平台config信息泄露漏洞
晚风不及你
01-21 2045
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
漏洞复现海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)
做自己喜欢的事,并将其发挥到极致!
06-02 1万+
海康威视 iVMS 集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、连网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台海康威视 iVMS系统存在在野利用 0day漏洞,攻击者可通过获取密钥任意构造token,请求/resourceOperations/upload 接口任意上传文件,导致获取服务器WebShell权限,同时可远程进行恶意代码执行
Nday 海康综合安防管理平台存在多个漏洞、29个漏洞合集
weixin_43167326的博客
06-04 1171
海康威视部分综合安防管理平台管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。
漏洞复现】Hikvision综合安防管理平台env信息泄漏漏洞
晚风不及你
01-21 1773
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 776
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
海康威视iVMS综合安防系统任意文件上传漏洞复现(0day)
热门推荐
0xSec
05-22 1万+
海康威视iVMS系统存在在野 0day 漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations/upload接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行
海康威视综合安防管理平台Fastjson远程命令执行漏洞
holyxp的博客
07-24 1953
综合安防管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
【1day】复现海康综合安防管理平台 applyCT Fastjson远程命令执行漏洞
记录并分享学习安全的知识点..
07-24 691
海康威视综合安防管理平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度,海康综合安防管理平台 applyCT 存在低版本Fastjson远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。
漏洞复现海康威视 综合安防管理平台 applyAutoLoginTicket 远程代码执行漏洞
凝聚力安全团队
06-19 748
综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康综合安防管理平台 applyAutoLoginTicket 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。
海康威视综合安防管理平台部署手册
09-13
海康威视作为全球领先的安防解决方案提供商,其综合安防管理平台是企业级客户进行安全监控、报警管理、视频存储及分析的重要工具。本部署手册旨在为用户详细阐述如何有效地安装、配置以及管理这一系统,确保用户能够...
海康威视iSecure Center综合管理平台产品手册
01-12
海康威视iSecure Center综合管理平台是一款专为安防领域设计的高度集成化和智能化的管理工具,旨在满足全行业的综合安防需求。该平台基于“统一软件技术架构”理念,运用业务组件化技术,确保了平台在业务扩展上的...
iSecure Center综合安防管理平台配置手册 V2.0.0
01-04
海康威视iSecure Center综合安防管理平台配置手册 V2.0.0】是针对该公司的安防管理系统的一份详细指南。iSecure Center是一个一体化、智能化的解决方案,它旨在通过集成视频监控、停车场管理、门禁控制以及报警...
海康威视综合安防平台1.3.0
04-24
海康威视综合安防平台1.3.0(iSecureCenter)是一款面向企业级用户的高级安全管理系统,旨在为企业提供全方位的安全管理和监控服务。本版本针对用户的需求进行了优化升级,不仅增强了系统的稳定性和安全性,还提供了...
综合安防管理平台 安装部署手册
08-18
综合安防管理平台安装部署手册知识点总结 本手册提供了综合安防管理平台的安装部署指南,旨在引导用户快速完成安装和部署过程。以下是从手册中提炼的关键知识点: 通用约定 1. 图形界面元素引用约定:在手册中,...
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
海康威视isecure center 综合安防管理平台任意文件上传漏洞
11-30
海康威视iSecure Center综合安防管理平台曾存在任意文件上传漏洞。该漏洞允许攻击者通过在应用程序中上传恶意文件来执行任意代码或获取系统权限。这种漏洞可能导致非授权访问、信息泄露、拒绝服务攻击等安全风险。 任意文件上传漏洞通常出现在没有适当的身份验证和文件类型验证的应用程序中。攻击者可以通过构造恶意请求,上传包含恶意脚本或恶意软件的文件,从而执行恶意代码或操作系统命令。 为了防止此类漏洞的发生,海康威视应采取以下措施来加强安全性: 1. 进行有效的输入验证和过滤:实施适当的输入验证,对用户输入进行有效检测和过滤,以防止恶意文件或代码的上传。 2. 限制上传文件类型和大小:对文件上传功能进行严格限制,白名单验证只允许上传特定的文件类型,同时限制文件大小。 3. 实施安全审计和监控:监控平台中的文件上传活动,及时发现和阻止恶意行为,同时记录日志以便进行安全审计和调查。 4. 及时更新和修复漏洞:对已知的漏洞进行及时修复和更新,及早应用安全补丁以确保系统的安全性。 5. 提供安全培训和意识教育:向开发人员和系统管理员提供安全培训,提高其对安全漏洞和攻击的认识,增强安全意识。 通过采取上述措施,海康威视iSecure Center综合安防管理平台可以有效地防止任意文件上传漏洞的利用,提高系统的安全性和可靠性。同时,及时修复和更新系统中已知的漏洞,以减少安全风险对系统的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值