大华智能物联综合管理平台 fastjson远程代码执行漏洞复现

已于 2024-05-13 16:31:19 修改
阅读量3.2k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 漏洞复现v1 文章标签: 安全 web安全
于 2024-05-11 13:36:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/138712003
本文介绍了大华智能物联综合管理平台因使用存在漏洞的FastJson组件,导致未经验证的攻击者可通过特定接口执行任意指令的安全问题。文章详细展示了漏洞复现环境、复现步骤以及修复建议,包括关注厂商更新的解决方案和临时的防火墙访问策略设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 产品简介

大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。

0x02 漏洞概述

由于大华智能物联综合管理平台使用了存在漏洞的FastJson组件,未经身份验证的攻击者可利用 /evo-runs/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。

0x03 复现环境

FOFA:icon_hash="-1935899595"

55c94e78f2374cca9f64eb8ad1cb8fae.png

0x04 漏洞复现

PoC

POST /evo-runs/v1.0/auths/sysusers/random HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.
了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞复现大华-智能综合管理平台-random-远程命令执行
知黑而守白
02-01 2054
浙江大华技术股份有限公司智能综合管理平台是一款基于网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台 random 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
漏洞复现大华ICC智能综合管理平台任意文件读取漏洞
晚风不及你
03-10 3857
大华智能综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
大华智能综合管理平台:打造智能化园区管理新格局
gitblog_06755的博客
05-29 470
大华智能综合管理平台:打造智能化园区管理新格局 【下载地址】大华智能综合管理平台使用说明书 大华智能综合管理平台是一套集成视频、门禁、报警、停车场、考勤、访客、可视对讲等多个业务子系统的综合管理软件。该平台凝聚了大华在安防和智能化领域的专业经验与前沿技术,为客户提供了一套高效、开放、灵活可扩展的解决方案。通过...
大华智能综合管理平台 fastjson反序列化漏洞
一个努力学习网安的小牛马
05-14 2079
反序列化漏洞未公开
大华智能综合管理平台高危漏洞分析:justForTest后门账户引发的身份验证危机
最新发布
骥龙信息的博客
07-04 1234
2023年12月17日:漏洞在技术社区(CN-SEC)首次曝光,披露ICC平台存在justForTest账户可配合任意密码登录的身份验证绕过漏洞,并提供了复现POC及Fofa测绘指纹。2025年1月15日:大华发布ICC平台多漏洞修复补丁(含CNVD-2025-00420),覆盖justForTest漏洞及关高危漏洞(如GetClassValue命令执行漏洞)。根据技术分析,justForTest账户疑似开发阶段遗留的测试后门账户,未在生产环境清除且缺乏密码校验逻辑,属于典型“硬编码凭证”类漏洞
漏洞复现大华-智能综合管理平台-page-信息泄露
知黑而守白
02-01 699
浙江大华技术股份有限公司智能综合管理平台是一款基于网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台 page 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息。
大华智能综合管理平台 log4j远程代码执行漏洞复现
0xSec
05-11 2347
大华ICC智能综合管理平台/evo-apigw/evo-brm/1.2.0/user/is-exist 接口处存在log4j远程代码执行漏洞,未经身份验证的攻击者可以利用此漏洞远程代码执行,进一步构造系统内部利用链可导致服务器失陷。
漏洞复现大华智能综合管理平台 fastjson远程代码执行漏洞复现
m0_71944965的博客
12-25 819
由于大华智能综合管理平台使用了存在漏洞FastJson组件,未经身份验证的攻击者可利用 /evo-runs/v1.0/auths/sysusers/random 接口发送恶意的序列化数据执行任意指令,造成代码执行
漏洞复现大华智能ICC综合管理平台文件读取漏洞
晚风不及你
02-23 3986
大华智能ICC综合管理平台是一个集成了多种智能应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能应用服务能力以及周边生态支持。
大华智能综合管理平台justForTest用户登录漏洞
qq_39573664的博客
12-27 3930
浙江大华技术股份有限公司智能综合管理平台 用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞,使用用户justForTest/任意密码即可成功登录平台,造成信息泄露。
大华综合监控管理平台
09-06
大华综合监控管理平台介绍PPT(含成功案例)
富通天下外贸ERP UploadEmailAttr文件上传漏洞
yxr520yj的博客
01-07 354
本文旨在提供有关特定漏洞安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请系作者删除。
漏洞复现大华-智慧园区综合管理平台-wpms-deleteftp-远程命令执行
知黑而守白
02-01 447
大华智慧园区综合管理平台是一款基于云计算、大数据、人工智能等技术的智慧园区管理解决方案,可为园区提供运营管理、综合安防、便捷通行、协同办公等多项功能,帮助园区实现安全等级提升、工作效率提升、管理成本下降。大华智慧园区综合管理平台 deleteftp 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
[未公开0day]大*智能综合管理平台(ICC)存在管理员密码重置漏洞
LiangYueSec的博客
06-26 2099
[未公开0day]大*智能综合管理平台(ICC)存在管理员密码重置漏洞
漏洞复现大华ICC智能综合管理平台token弱口令漏洞
晚风不及你
03-09 2011
大华智能综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
漏洞复现大华智能ICC综合管理平台弱口令漏洞
晚风不及你
02-23 4286
大华智能ICC综合管理平台是一个集成了多种智能应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能应用服务能力以及周边生态支持。
大华智能综合管理平台justForTest用户登录漏洞(含批量验证poc)
weixin_43567873的博客
04-22 1697
大华智能综合管理平台justForTest用户登录漏洞(含批量验证poc)
漏洞复现大华-智能综合管理平台-token-默认口令
知黑而守白
02-01 936
浙江大华技术股份有限公司智能综合管理平台是一款基于网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。
fastbot 字节
09-18
fastbot 是字节跳动旗下的一个智能助手,在2021年推出。它具有多项功能,可以为用户提供语音交互、信息搜索、日程管理、天气查询等等服务。 首先,fastbot 的语音交互功能非常强大。它可以听懂用户的语音指令,并通过智能算法进行解析和理解。用户可以通过语音的方式与fastbot 进行对话,非常方便。 其次,fastbot 可以进行信息搜索。用户可以向fastbot 提出问题或者搜索请求,fastbot 会通过搜索引擎或者自有数据库快速找到答案并反馈给用户。这对于用户获取信息非常便捷。 此外,fastbot 还具备日程管理功能。用户可以在fastbot 中设置提醒事项、安排日程,fastbot 会在事项发生之前提醒用户,帮助用户合理安排时间。 最后,fastbot 还可以查询天气。用户可以询问fastbot当天或者未来几天的天气情况,fastbot 会通过调用天气接口提供详细的天气预报,帮助用户合理出行。 总而言之,fastbot 字节是一个功能强大的智能助手,它通过语音交互、信息搜索、日程管理和天气查询等多项功能,可以提供便捷的服务,帮助用户更高效地处理各种事务。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值