文章总结： 本文基于市政攻防演练实战，阐述了海康威视综合安防系统的后渗透利用技巧。通过文件上传漏洞获取初始权限后，利用专用工具解密系统配置文件中的敏感信息，成功获取PostgreSQL数据库凭证。通过数据库代理绕过兼容性问题并修改管理员密码登录后台。此外，文章还演示了如何解密并访问Redis、MinIO及ActiveMQ等组件，深入挖掘配置文件中的凭证以扩大战果，提供了完整的实战攻击思路。 综合评分： 88 文章分类： 渗透测试,红队,内网渗透,实战经验

海康安防后渗透利用分析

路过的一个人

李白你好

2026年1月12日 08:01 青海

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

文章作者：先知社区（路过的一个人）

文章来源：https://xz.aliyun.com/news/91059

1►

介绍

在近期的一场市政攻防演练中，海康威视综合安防系统作为高价值资产，成为了众人的重点关注对象。我有幸在实战中拿下了这样一个目标。这里总结了海康综合安防系统的得分点和攻击技巧，以备后用。

2►

技术细节

目标是通过外网扫描发现的综合安防系统

使用本地 nuclei快速扫描该站点，发现存在反序列化、文件上传等漏洞，选择一个任意文件上传漏洞直接获取了权限

上传哥斯拉🐎

访问海康安防的网站目录如下：

3►

海康威视综合安防后利用解密

海康威视综合安防系统使用多种加密方式来保护敏感信息，例如配置文件和用户密码。通过解密这些信息，攻击者可以获取系统配置、数据库访问凭证等关键信息。

解密工具：

https://github.com/wafinfo/Hikvision

番外：工具只能在 windows 上用，本地 Macos 用不了，于是开了个虚拟机跑

java -jar Hikvision.jar&nbsp;<encryption>

PostgrepSQL 登录+管理员密码替换

/hikvision/web/opsMgrCenter/conf/config.properties #海康数据库PostgreSQL配置文件

解密postgres数据库密码解密获取数据库凭证后，使用 Godzilla 数据库管理模块成功登录，但发现无法查看表内数据。

推测可能是哥斯拉自带的数据库管理模块存在兼容性问题。最后通过搭建隧道代理将流量转发至本地，利用哥斯拉内置的代理功能。

运行管理中心后台登陆用户: 数据库opsmgr_db 用户表:center_user

本地数据库连接正常，找到 center_user表

利用之前的海康解密工具生成了新的密码和 Salt，先对原始密码进行备份。然后将 center_user 表中的密码和 Salt 替换为新生成的数据，过程如下：

[+] 生成密码成功：P@ssw0rd0.

[+] 生成salt成功：c4ca4238a0b923820dcc509a6f75849b

[+] 替换center_user表 password salt：983605f69b7a3a91187eb301eda62bbde9513ea706821b3e93ccdadbfe055b88

运营管理中心默认端口是8001，访问http://ip/center/login

使用修改后的密码登录：sysadmin/P@ssw0rd0. 登录成功

可以看见运行管理中心下存在很多运行的服务，接下来要获取这些服务的权限进一步扩大得分,到这一步记得把原有的密码还原。

其余各种数据库配置文件包括redis等，密码都加密了需要进行解密，解密方法相同

/hikvision/web/components/ntp.1/conf/config.properties/hikvision/web/components/activemq514linux64.1/conf/config.properties/hikvision/web/components/cluster.1/conf/config.properties/hikvision/web/components/lm.1/conf/config.properties/hikvision/web/components/ls.1/conf/config.properties/hikvision/web/components/lsm.1/conf/config.properties/hikvision/web/components/mps.1/conf/config.properties/hikvision/web/components/nodejslinux64.1/conf/config.properties/hikvision/web/components/ntp.1/conf/config.properties/hikvision/web/components/openjdk11linux64.1/conf/config.properties/hikvision/web/components/postgresql11linux64.1/conf/config.properties/hikvision/web/components/redislinux64.1/conf/config.properties/hikvision/web/components/reportservice.1/conf/config.properties/hikvision/web/components/svm.1/conf/config.properties/hikvision/web/components/tomcat85linux64.1/conf/config.properties

minio

默认目录 /hikvision/web/components/minio.1/conf/ 下的配置文件通常包含了 MinIO 服务的访问凭证。通过解密该配置文件，可以获取到 accessKey 和 secretKey

MinIO 服务默认监听在 9000 端口。由于 MinIO 前端页面涉及大量 JavaScript 的自动加载，若采用隧道代理，可能会导致资源加载异常，从而无法正常显示登录页面。

ActiveMq

目录：/hikvision/web/components/activemq514win64.1/

刚开始的时候访问端口发现 404 未能跳转到登录页面，查看当前目录的 jetty.xml发现默认路径为 /activemqmamage

最终访问http://ip/activemqmamage

Redis

同样获取 redis 密码解密登录成功如下：/hikvision/web/components/rediswin64.1/conf/config.properties

4►

总结

海康威视综合安防系统通常包含三个以上服务实例（如 PostgreSQL、Redis、minio 等）。在实际渗透过程中，这些文件中往往隐藏着数据库连接凭证、API密钥或系统敏感信息，深入分析往往能带来意外的收获。

5►

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：李白你好 路过的一个人《海康安防后渗透利用分析》