【漏洞复现】海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)

最新推荐文章于 2024-08-21 10:51:19 发布
最新推荐文章于 2024-08-21 10:51:19 发布
阅读量1.1w 收藏 30
点赞数 11
分类专栏: 漏洞复现 文章标签: 海康威视iVMS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/131000428
版权
文章揭示了海康威视iVMS安防系统存在的严重漏洞,攻击者能通过构造token绕过认证并实现任意文件上传,获取WebShell权限。漏洞影响iVMS-5000和iVMS-8700系统。作者提供了漏洞验证方法和JSP木马示例,并建议用户限制互联网访问权限,加强文件上传模块的安全认证,以防止潜在风险。
摘要由CSDN通过智能技术生成

文章目录

前言

海康威视iVMS综合安防系统存在任意文件上传漏洞 ,攻击者可通过构造特定Payload实施对目标的攻击。

声明

本篇文章仅用于漏洞复现与技术研究,请勿利用文章内的相关技术从事非法测试,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

一、产品简介

海康威视 iVMS 集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、连网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。
在这里插入图片描述

二、漏洞概述

海康威视 iVMS系统存在在野利用 0day漏洞,攻击者可通过获取密钥任意构造token,请求/resourceOperations/upload 接口任意上传文件,导致获取服务器WebShell权限,同

了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
专栏目录
订阅专栏
海康威视 isecure center 综合安防管理平台任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
06-19 1338
海康威视部分综合安防管理平台管理平台基于 统一软件技术架构 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理平台keepAlive接口存在Fastjson远程命令执行漏洞,攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。
海康威视isecure center 综合安防管理平台存在任意文件上传漏洞
nnn2188185的博客
06-29 1579
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。海康威视
海康威视isecure center 综合安防管理平台任意文件上传漏洞
holyxp的博客
07-02 4370
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。
海康威视iSecure Center综合安防管理平台 config.properties信息泄漏漏洞
最新发布
菜鸟学渗透
08-21 427
海康威视iSecure Center综合安防管理平台 config.properties信息泄漏漏洞
海康威视iVMS综合安防系统任意文件上传漏洞复现 (0day)
qq_50854662的博客
06-30 2521
海康威视iVMS综合安防系统任意文件上传漏洞复现0day
Goby 漏洞更新 |海康威视部分iVMS系统存在文件上传漏洞
m0_46699477的博客
06-02 1821
海康威视-iVMS综合安防管理平台是一套“集成化”、“数字化”、“智能化”的平台,包含视频、报警、门禁、访客、梯控、巡查、考勤、消费、停车场、可视对讲等多个子系统。攻击者通过获取密钥任意构造token,请求某个接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。
海康威视iVMS综合安防系统任意文件上传漏洞复现0day
0xSec
05-22 1万+
海康威视iVMS系统存在在野 0day 漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations/upload接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。
海康威视iVMS综合安防系统文件上传漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-02 532
海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
海康威视iVMS综合安防系统任意文件上传漏洞复现 [附POC]
薛定谔嘚喵博客
11-13 1542
海康威视iVMS系统存在任意文件上传漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations/upload接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。
海康威视iVMS综合安防系统任意文件上传(0Day)
失心少年
08-11 2309
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!攻击者通过请求/svm/api/external/report接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。2.链接马径:/portal/ui/login/…
漏洞复现海康威视 综合安防管理平台软件 center_api_files 任意文件上传漏洞
凝聚力安全团队
06-19 709
攻击者通过请求 /center/api/files 接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
海康威视isecure center 综合安防管理平台文件上传漏洞复现
weixin_68647219的博客
09-07 3447
工作发现,海康威视isecure center存在文件上传漏洞,该漏洞是由于海康威视isecure center存在不严谨可能导致存在任意文件上传漏洞
海康威视iVMS综合安防系统任意文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
09-18 1524
海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。
海康摄像头CVE-2021-36260漏洞复现
热门推荐
剁椒鱼头没剁椒的博客
01-06 2万+
攻击者利用该漏洞可以用无限制的 root shell 来完全控制设备,即使设备的所有者受限于有限的受保护 shell(psh)。除了入侵 IP 摄像头外,还可以访问和攻击内部网络。该漏洞的利用并不需要用户交互,攻击者只需要访问 http 或 HTTPS 服务器端口(80/443)即可利用该漏洞,无需用户名、密码、以及其他操作。摄像头本身也不会检测到任何登录信息。
漏洞复现】Hikvision综合安防管理平台report文件上传漏洞
晚风不及你
01-23 2351
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
漏洞复现】Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)
晚风不及你
01-20 4264
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
Goby 漏洞更新 |海康威视部分iVMS系统存在文件上传漏洞_海康威视部分 ivms 系统存在文件上传高危漏洞(1)
2301_82242273的博客
04-17 1358
海康威视-iVMS综合安防管理平台是一套“集成化”、“数字化”、“智能化”的平台,包含视频、报警、门禁、访客、梯控、巡查、考勤、消费、停车场、可视对讲等多个子系统海康威视-iVMS综合安防管理平台是一套“集成化”、“数字化”、“智能化”的平台,包含视频、报警、门禁、访客、梯控、巡查、考勤、消费、停车场、可视对讲等多个子系统。IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
海康威视ivms-8700联网网关使用说明书
07-12
海康威视IVMS-8700联网网关是一种用于连接海康威视视频监控设备和云平台的设备。它可以通过互联网将监控设备接入到云端,并提供远程管理和控制的功能。 使用说明书包含以下内容: 1. 硬件安装:首先,将联网网关与本地网络连接,可以通过有线或无线方式进行连接。确保联网网关和监控设备都已经正确连接并供电。 2. 软件安装:安装并打开IVMS-8700联网网关软件,根据软件提示进行操作。在软件中输入联网网关的相关信息,如IP地址和端口号等。 3. 设备接入:添加监控设备到联网网关中,可以通过搜索设备、手动输入设备信息或导入设备列表的方式进行添加。确保设备连接正常并获取到视频信号。 4. 云平台接入:在联网网关软件中设置云平台的相关参数,以便将监控设备接入到云端。确保云平台账号和联网网关绑定成功。 5. 远程管理和控制:通过IVMS-8700联网网关软件,可以远程查看监控设备的视频画面,进行录像回放,设置报警联动等功能。可以随时随地通过云平台进行监控和管理。 6. 故障排除:如果在使用过程中遇到问题,可以参考说明书中的故障排除部分。一般常见的问题包括设备无法连接、视频画面模糊等,可以尝试重新连接设备、调整画质等方法来解决。 综上所述,使用海康威视IVMS-8700联网网关可以方便地将监控设备接入云平台,提供了远程管理和控制的功能,使得监控更加便捷。使用说明书详细介绍了硬件和软件的安装步骤,以及设备接入、云平台接入、远程管理和故障排除等内容,帮助用户顺利使用和操作联网网关。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值