记一次海康综合安防后渗透

主要观点总结

这篇文章主要介绍了海康威视综合安防管理平台存在的安全漏洞及渗透方式，包括任意文件上传、redis主从复制getshell、加密内容解密等。同时，文章还提供了自己编写的批量检测report任意文件上传脚本和一些相关工具的使用方法。文章最后列出了往期精彩内容，如万户ezOFFICE协同管理平台XXE to RCE、Linux系统中存在的未经身份验证的严重RCE漏洞和Telegram更新服务条款等。

关键观点总结

关键观点1: 海康威视综合安防管理平台的漏洞及渗透方式

包括任意文件上传、redis主从复制getshell、加密内容解密等，通过攻击这些漏洞可以获得一系列应用服务的配置，从而获取服务权限得分。

关键观点2: 提供的批量检测report任意文件上传脚本

作者提供了自己编写的批量检测report任意文件上传的脚本，可以自动化进行漏洞检测。

关键观点3: 相关工具的使用方法

文章介绍了如何使用一些工具进行加密内容解密、数据库解密等操作。

关键观点4: 往期精彩内容

文章还列出了往期精彩内容，包括其他安全漏洞和情报信息，如万户ezOFFICE协同管理平台XXE to RCE、Linux系统中存在的未经身份验证的严重RCE漏洞和Telegram更新服务条款等。

文章预览

免责声明： 由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！ 这篇文章的起因是前段时间的市攻防演练中，海康的综合安防是我知道的得分比较多的资产，自己也有幸拿到了一个。因为是第一次独立渗透海康的综合安防，也有些困难，不过好在一晚上的努力后，成功将机子上能拿的分拿到了。为了下次能够更好的渗透，就整理了下综合安防的得分点。 文章作者：Duoduo's Blog 文章来源：https://seveo.cn/archives/8 1 ► 介绍 app="HIKVISION-综合安防管理平台" title="综合安防管理平台" 首先要先找到入口点，有两种方法，一种是通过利用report任意文件上传，另一种是收集信息获 ………………………………