海康威视iSecure-Center 综合安防管理平台 download 任意文件读取漏洞

WuY1nSec

已于 2024-06-12 17:10:57 修改

阅读量947

点赞数 12

分类专栏：漏洞复现文章标签：安全 web安全

于 2024-06-12 16:32:19 首次发布

本文链接：https://blog.youkuaiyun.com/WuYSec/article/details/139630468

版权

漏洞复现专栏收录该内容

7 篇文章

订阅专栏

0x01 漏洞描述

海康威视iSecure-Center综合安防管理平台是一款“集成化”、“智能化”的平台，能够接入视频监控、一卡通、停车场、报警检测等系统设备。通过海康威视的集成化综合管理软件平台，可以对接入的视频监控点进行集中管理，实现统一部署、统一配置、统一管理和统一调度。

海康威视iSecure-Center综合安防管理平台/orgManage/v1/orgs/download接口存在任意文件读取漏洞(Bypass版)，可通过此漏洞读取任意文件。

0x02 FoFa语句

app="HIKVISION-综合安防管理平台" ||app="HIKVISION-iSecure-Center"

0x03 漏洞复现

详情见星球内

0x04 知识星球

目前星期刚起步运营，加入即送EDUSRC邀请码，限量每人20个，加入后私聊星主领取

IMG_9959(20240612-162936)

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

WuY1nSec

关注关注

12
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

海康威视综合安防管理平台 orgManage/v1/orgs/download 任意文件读取漏洞复现

0xSec

05-31

1724

海康威视综合安防管理平台 orgManage/v1/orgs/download 接口处存在任意文件读取漏洞，未经身份验证的远程攻击者可利用目录遍历的方式绕过权限认证直接读取后台服务器配置文件等敏感文件，造成信息泄露，使系统处于极不安全的状态。

海康威视iSecure Center 综合安防管理平台detection接口存在远程命令执行漏洞

xiaokp7的博客

07-24

1441

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备，获取边缘节点数据，实现安防信息化集成与联动，以电子地图为载体，融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、统一配置、统一管理和统一调度。

参与评论您还未登录，请先登录后发表或查看评论

海康威视综合检测利用工具介绍和下载

最新发布

DamnVanish的博客

03-07

1164

本篇文章介绍了两款用于检测和利用海康威视相关安全漏洞的工具，包括其功能、使用方式以及下载地址。

海康威视iSecure Center综合安防管理平台center任意文件上传漏洞

bmaoHk的博客

10-03

825

海康威视综合安防管理平台Fastjson远程命令执行漏洞

holyxp的博客

07-24

2359

综合安防管理平台基于 " 统一软件技术架构" 理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。

海康威视综合安防管理平台 files 文件读取漏洞

m0_71285176的博客

01-10

2234

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备。在其某接口处存在任意文件读取漏洞，攻击者可以读取系统任意敏感文件。

海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞

WuYSec的博客

06-12

1344

海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞，可造成远程命令执行。

海康威视 isecure center 综合安防管理平台任意文件上传漏洞

李火火的安全圈

06-19

1815

海康威视部分综合安防管理平台管理平台基于统一软件技术架构理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。海康威视综合安防管理平台keepAlive接口存在Fastjson远程命令执行漏洞，攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

海康威视iSecure Center综合安防管理平台-视频联网网关(NCG)用户手册

04-19

海康威视iSecure Center是一款综合安防管理平台，旨在提供高效、全面的视频监控解决方案。该平台中的视频联网网关（NCG）是其核心组件之一，主要负责视频数据的联网管理和处理。以下是对该用户手册中涉及的关键知识...

海康威视iSecure Center综合管理平台产品手册

01-12

综上所述，海康威视iSecure Center综合管理平台以先进的技术和全面的设计理念，为用户提供了一个集视频监控、门禁管理、报警响应、车辆管理等多功能于一体的安防管理平台。该平台不仅提高了安全防护的效率和效果，也...

海康威视iSecure Center综合管理平台产品配置手册chm版

04-16

海康威视iSecure Center综合管理平台产品手册 综合安防管理平台基于“统一软件技术架构”理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合...

HIKVISION iSecure Center 综合安防管理平台 快速配置手册 V1.1.0.pdf

09-04

HIKVISION iSecure Center 综合安防管理平台 快速配置手册 V1.1.0

HIKVISION iSecure Center 综合安防管理平台 安装部署指南 V1.1.0

03-07

HIKVISION iSecure Center 综合安防管理平台 安装部署指南 V1.1.0 提供平台的操作，最新版本都可以跟厂家索要！

海康综合安防管理平台远程命令执行漏洞（CNVD-2024-18673）复现

fly夏天的博客

06-19

4378

海康综合安防管理平台远程命令执行漏洞（CNVD-2024-18673）复现

海康威视部分综合安防管理平台产品存在任意文件上传漏洞

Al345__的博客

11-19

2007

海康威视部分综合安防管理平台历史版本由于对上传文件接口校验不足，攻击者可以将恶意文件上传到平台，导致获取服务权限或服务异常。攻击者利用该漏洞上传Webshell，并随后执行任意命令，对主机上相关文件进行加密，加密后缀为locked1。海康威视iVMS集中监控应用管理平台，是以安全防范业务应用为导向，以视频图像应用为基础手段，综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统，构建的多业务应用综合管理平台。（2）建立重要业务数据的定期备份机制，并做好权限隔离，防止勒索软件对备份数据进行加密；

海康威视综合安防管理平台 detection 前台RCE漏洞复现

0xSec

07-22

5553

海康威视综合安防管理平台 /center/api/installation/detection 接口处存在远程命令执行漏洞，未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

李火火的安全圈

04-28

9163

综合安防管理平台基于统一软件技术架构理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，该漏洞可执行系统命令，可获取到目标服务器系统权限以及敏感数据信息。

海康威视iVMS-8700综合安防管理平台文件读取漏洞复现

0xSec

12-13

2662

HIKVISION iVMS 综合安防管理平台download接口处存在任意文件读取漏洞，攻击者通过构造token绕过身份认证，读取服务器中的目录信息与敏感文件。使系统处于极不安全的状态。

【漏洞复现】海康威视安防管理平台/v1/keepAlive 接口处存在远程命令执行漏洞

m0_46381222的博客

10-23

893

【漏洞复现】海康威视安防管理平台/v1/keepAlive 接口处存在远程命令执行漏洞

海康威视isecure center 综合安防管理平台任意文件上传漏洞

11-30

海康威视iSecure Center综合安防管理平台曾存在任意文件上传漏洞。该漏洞允许攻击者通过在应用程序中上传恶意文件来执行任意代码或获取系统权限。这种漏洞可能导致非授权访问、信息泄露、拒绝服务攻击等安全风险。 任意文件上传漏洞通常出现在没有适当的身份验证和文件类型验证的应用程序中。攻击者可以通过构造恶意请求，上传包含恶意脚本或恶意软件的文件，从而执行恶意代码或操作系统命令。为了防止此类漏洞的发生，海康威视应采取以下措施来加强安全性： 1. 进行有效的输入验证和过滤：实施适当的输入验证，对用户输入进行有效检测和过滤，以防止恶意文件或代码的上传。 2. 限制上传文件类型和大小：对文件上传功能进行严格限制，白名单验证只允许上传特定的文件类型，同时限制文件大小。 3. 实施安全审计和监控：监控平台中的文件上传活动，及时发现和阻止恶意行为，同时记录日志以便进行安全审计和调查。 4. 及时更新和修复漏洞：对已知的漏洞进行及时修复和更新，及早应用安全补丁以确保系统的安全性。 5. 提供安全培训和意识教育：向开发人员和系统管理员提供安全培训，提高其对安全漏洞和攻击的认识，增强安全意识。通过采取上述措施，海康威视iSecure Center综合安防管理平台可以有效地防止任意文件上传漏洞的利用，提高系统的安全性和可靠性。同时，及时修复和更新系统中已知的漏洞，以减少安全风险对系统的威胁。