源码下载地址:链接: https://pan.baidu.com/s/1jVkIJOxHR0o0-GLs9hWxjw 密码: 67o6
--来自百度网盘超级会员V1的分享。
1、权限绕过:
通过海康访问的路由报错信息搜索关键字
通过规则的方法是preHandle,其中是验证身份问题。分别从请求流获取东西。
String submitToken;
String requestUrl;
定义了这两个变量,一个是客户端获取到的token,一个是请求的url。通过规则。分别判断的是secretKey empty和token empty。
主要看下面的第三条语句看看,获取完整的请求URL。然后再找到URL包含token的位置获取到索引值。再截取URL开头到token之前的部分,得到目标URL。最后通过URL和秘钥加密生成目标Token,最后MD5加密。
通过全局搜索发现是一个硬编码。至此即可进行利用
URL+secretKey,然后进行MD5加密
2、ssrf与任意文件读取
查找代码发现此处存在new URL。同时fileUrl可控。导致此处可控。形成SSRF漏洞。
通过网络上查找的网址进行测试。发现漏洞存在,可进行利用。此处ssrf,可尝试通过Netdoc协议进行读取任意文件。需要注意读取期间空格需要进行url编码。
2、利用链分析
此处可以读取到读到任意文件。由于安防综合存在备份功能。可尝试读取备份文件从而进行登录后台。
通过读取的配置文件获取备份文件位置。随后根据本地搭建的环境发现备份文件还有一层目录。
可通过权限绕过再次进行获取该文件夹名字
成功获取到了备份数据库的文件。根据代码继续审计文件名规则。
通过该代码获取到了备份数据库前缀。
最后探测出规则。前缀+下划线+md5(时间戳).sql。
即可通过备份数据库获取到管理员密码进行登录。
原文始发于微信公众号(某路人的sec):海康威视ivms8700任意文件读取登录后台
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论