最新dahua大华综合漏洞利用工具

1►

工具介绍

一款基于java图形化的dahua综合漏洞利用工具 环境JDK 1.8 声明：仅用于授权测试，用户滥用造成的一切后果和作者无关 请遵守法律法规！作者：MInggongK

dahua综合漏洞利用工具 收录漏洞如下：

大华DSS数字监控系统attachment_clearTempFile.action注入漏洞

大华DSS数字监控系统远程命令执行漏洞

大华DSS数字监控系统itcBulletin注入漏洞

大华智慧园区综合管理平台信息泄露漏洞

大华智慧园区综合管理平台getNewStaypointDetailQuery注入漏洞

大华智慧园区综合管理平台clientserver注入

大华DSS user_edit.action信息泄露漏洞

大华智慧园区综合管理平台poi任意文件上传漏洞

大华智慧园区综合管理平台video任意文件上传漏洞

大华智慧园区综合管理平台emap任意文件上传漏洞

大华智慧园区综合管理平台searchJson注入漏洞

大华DSS数字监控系统attachment_getAttList.action注入漏洞

大华智能物联综合管理平台justForTest用户登录漏洞

2►

功能介绍

一键检测模块，选择模块

批量检测模块：模块如下:

大华DSS数字监控系统远程命令执行漏洞

大华智慧园区综合管理平台信息泄露漏洞

大华智能物联综合管理平台justForTest用户登录漏洞

大华DSS数字监控系统attachment_clearTempFile.action注入漏洞

大华DSS数字监控系统itcBulletin注入漏洞

大华智慧园区综合管理平台clientserver注入

大华智慧园区综合管理平台searchJson注入漏洞

大华智慧园区综合管理平台poi任意文件上传漏洞

大华智慧园区综合管理平台video任意文件上传漏洞

CMDshell模块 大华DSS数字监控系统远程命令执行漏洞

根据程序版本优化，添加新版本的Poc
webshell利用模块

大华智慧园区综合管理平台poi任意文件上传漏洞

大华智慧园区综合管理平台video任意文件上传漏洞

大华智慧园区综合管理平台emap任意文件上传漏洞

3►

工具使用

默认模块可一键扫描所有漏洞

选择模块可单独选择你要检测的模块，输入目标，点击选择模块即可检测漏洞 ,批量检测内置路径：/url.txt 文本放入你要检测的网站列表 默认检测，为了防止网络阻塞

注：默认检测只检测大华DSS数字监控系统远程命令执行漏洞 下载dahuaExploitGUI程序，当前目录新建文本，命名为url.txt，选择批量检测模块，即可开始检测

cmdshell模块

选择模块进行漏洞验证，如果存在，在cmdshell输入你要执行的命令即可

webshell利用模块

内置Godzilla Behinder jspcmdshell 三种类型的shell 一个测试文件

具体使用方法：选择模块进行验证 如isecure center 如果漏洞存在 可选择内置类型，如测试文件 点击getshell isecure上传即可 如果存在video漏洞 可选择内置shell， 点击video getshell上传即可

自定义模块待开发

4►

工具获取

https://github.com/MInggongK/dahuaExploitGUI

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END