1.海康流媒体管理服务器账号密码泄露漏洞

1.1.漏洞描述

  海康流媒体管理服务器配置文件未做鉴权，攻击者通过漏洞可以获取网站账号密码。

1.2.漏洞影响

  海康流媒体管理服务器

1.3.FOFA

  “杭州海康威视系统技术有限公司 版权所有” && title=“流媒体管理服务器”

2.漏洞复现

2.1.登录页面

2.2.POC

  URL：IP地址：端口/config/user.xml

2.3.登录验证

  这里获取到的账号密码的base64，对其进行解密即可获取账号密码。