漏洞描述
大华DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。
大华 DSS 数字监控系统 attachment_clearTempFile.action SQL注入,黑客可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
可进行网络远程查看操作控制通过在有网络的电脑或手机上实现,可以实时查看你所装监控的区域,实现让你在上班、出差也可随时随地看你想看的。同时,它还可以通过采集监控数据、提高管理监督效果,有效震慑违法犯罪行为的发生,并达到有效震慑违法犯罪行为的效果。
漏洞复现
「Fofa」
app="dahua-DSS"
「poc验证」有两种验证方式, 第一种:f12打开hackbar,输入poc即可
第二种:sqlmap验证,直接输入get请求即可一把梭哈
sqlmap -u http://xxx.com/poc
完整poc获取
公众号:「吉吉说安全」,对我发消息【20240327】免费获取完整poc
「如果你也想学习更多这类安全技术,详情下方图片了解,扫下方二维码加入:只做高质量优质精品内容」
会持续给大家更新更好东西,期待得到你免费的
【点赞】【在看】【转发】
今年肯定能“一帆风顺,二龙腾飞,三羊开泰,四季平安,五福临门,六六大顺,七星高照,八方来财,九九同心,十全十美,百事亨通,千事吉祥,万事如意“。
免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
