H5s console 视频平台未授权访问漏洞

组件说明

        H5S视频平台是一个支持Windows Linux(CentOS ubuntu) 视频管理平台。集成多种品牌多种格式视频，通过视频应用引擎将多种格式的视频数据转换为统一的视频数据，不需要在平台上安装多种视频插件，能够在平台界面上进行多种品牌多种格式的视频流畅播放，提高集成视频便利性、使用方便性、可扩展性，提高平台的简洁性。同时可以设置某一时间段的流媒体信息进行存储，也能将某一时段的视频导入进行播放。该平台多个接口未经身份验证即可访问，导致信息泄漏。

漏洞分析

按照国际惯例，起手式、开局一张图：

（https://www.cnvd.org.cn/flaw/show/CNVD-2020-67113）

看标题是有未授权访问，直接掏出dirsearch进行目录Fuzz爆破：

存在的目录有:[“/css”,”/doc”,”/domain”,”/favicon.ico”,”/fonts”,”/img”,”/index.html”,”/js”,”/static”,”/swf”]（这里能Fuzz出哪些目录是和字典相关的）

其他的都没什么好看的，直接看“/doc”这个目录，访问：

第一个是用户手册，访问直接404:

直接访问第二个api.html，映入眼帘的是api接口文档：

从第一个接口来看，session是必填的，感觉是存在身份验证的；

但是实际中，随手就访问了接口，根本不需要session,不存在身份验证，妥妥的未授权嘛，不过这个接口没太多信息，很鸡肋。

试了整个api文档的接口，极大一部分存在未授权访问问题，以下接口存在一些比较敏感的信息：

• GetSystemInfo接口（系统信息）

• Getsrc接口（获取源列表）

     注意到这里存在一个参数”strURL”,里面有一个rtsp协议：（百度时间到）  

       RTSP（Real Time Streaming Protocol）是由Real Network和Netscape共同提出的如何有效地在IP网络上传输流媒体数据的应用层协议。RTSP对流媒体提供了诸如暂停，快进等控制，而它本身并不传输数据，RTSP的作用相当于流媒体服务器的远程控制。服务器端可以自行选择使用TCP或UDP来传送串流内容，它的语法和运作跟HTTP 1.1类似，但并不特别强调时间同步，所以比较能容忍网络延迟。而且允许同时多个串流需求控制（Multicast），除了可以降低服务器端的网络用量，还可以支持多方视频会议（Video  onference）。因为与HTTP1.1的运作方式相似，所以代理服务器《Proxy》的快取功能《Cache》也同样适用于RTSP，并因RTSP具有重新导向功能，可视实际负载情况来转换提供服务的服务器，以避免过大的负载集中于同一服务器而造成延迟。

简单来说就是传输流的一个协议，在请教了老师傅以后，顺利的开始了实时视频监控：

• GetRegion?session=null

• GetDevice (获取设备信息）

到这里发现4个有信息泄漏的接口，仍然对登录接口没办法，接口存在着失败次数限制，直接爆破不行的，再翻看api文档，注意到 login 接口：

当登录失败时参数”bStatus”是false，如果抓包修改response包里的bstatus为true会不会绕过验证（这种假设只存在登录跳转是前端根据后端返回的bstatus的参数状态来的）？

尝试后发现自己想多了，现在已经不存在这么傻的程序员了；

但是更有意思的东西来了！

仔细检查http请求，发现在登录修改response包后，服务器在失败后会去访问另一个接口（不在api文档里）：”/GetUserInfo?user=admin&session=”

多么神奇的接口啊，多么莫名其妙的操作啊！！！

拿着这个账号密码直接就可以登录了：

处置建议

厂商尚未提供漏洞修补方案，请关注厂商主页及时更新：

https://linkingvision.cn/

建议用户在内网部署平台，不可开放至互联网。

最后，代码编写一定要规范，权限校验要严格。