ThinkSAAS最新版2.4 Xss漏洞

简要描述： 未过滤 详细说明： 先看写入代码： /var/www/html/thinksaas/app/my/action/setting.php case "citydo": $province = trim$POST'province'; $city = trim$POST'city';//只过滤两处空白 //这里就直接写入数据库了 $new'my'-update'userinfo',array 'userid'=$userid, ,array 'province'=$province, 'city'=$city, ; tsNotice"常居地更新成功！"; break; Updat...

ThinkSAAS最新版2.4 Xss漏洞 指谁打谁

简要描述： thinksaas2.4+php2.6+apache2 未过滤 感谢@xfkxfk 详细说明： 先看消息写入代码： /var/www/html/thinksaas/app/user/action/message.php case "do": $msguserid = $userid; $msgtouserid = intval$POST'touserid'; $msgcontent = tsFilter$POST'content'; //用tsFilter过滤 aac'system'-antiWord$msgcontent; //过滤垃圾词...

ThinkSAAS SQL Injection Vulnerability

ThinkSAAS is a lightweight open source community system , is a community system that can be used to build discussion groups , bbs and circles . ThinkSAAS has a SQL injection vulnerability. An attacker can exploit the vulnerability to execute SQL statements and obtain sensitive information from...

Multiple Vulnerabilities in the Latest Version of ThinkSAAS

ThinkSAAS is a lightweight open source community system , can be used to build discussion groups , bbs and circles of the community system . ThinkSAAS latest version of the existence of multiple SQL injection, arbitrary file containment and arbitrary file deletion vulnerabilities. Attackers can u...

thinksaas最新版存储xss

简要描述： 过滤不当 详细说明： 最新版下载地址http://www.thinksaas.cn/service/down/ 跟前面thinksaas最新版xss2 WooYun: thinksaas最新版xss2 thinksaas最新版xss WooYun: thinksaas最新版xss 原理都一样 吐槽下 官网不让注册帐号 就在本地测试了 前人的我测试一个现在还可以 当然 漏洞文件肯定是不一样的 漏洞文件 在app/article/action/add.php 25行中没有过滤 48行插入数据库 isLogin; switch $ts case "" : if...

ThinkSAAS通用按钮储存型XSS

简要描述： 至少有4处以上 详细说明： WooYun: ThinkSAAS存储型跨站2处 这个位置现在已经修复过，直接输入javascript被过滤而引发上次问题没过滤的&被转译成&所以上次的payload已经不适用了 发现这个点是基于黑名单的过滤，黑名单的过滤肯定会有考虑不到的地方 这次将payload转换为data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg== 这样的话一样可以触发xss 漏洞证明： 这个问题通用地存在所有有插入超链接这个按钮的位置...

ThinkSAAS 最新版注入

简要描述： ThinkSAAS 2.4 详细说明： app\group\action\add.php 60行开始 // 执行发布帖子 case "do" : ......省略...... $groupid = intval $POST 'groupid' ; $title = trim $POST 'title' ; $content = tsClean $POST 'content' ; $typeid = intval $POST 'typeid' ; $tag = $POST 'tag'; ......省略...... // 处理@用户名 if pregmatchall '/@/'...

ThinkSAAS SQL注入

简要描述： ThinkSAAS SQL注入 详细说明： 版本 ThinkSAAS 2.32 目前最新版。 app\group\action\do.php 281行 //回复评论 case "recomment": if$POST'token' != $SESSION'token' echo 1;exit; $referid = intval$POST'referid'; $topicid = intval$POST'topicid'; $content = tsClean$POST'content'; $addtime = time; $db-query"insert into...

thinksaas最新版xss

简要描述： thinksaas最新版xss 详细说明： 漏洞文件：\app\group\action\create.php case "do": if$TSAPP'options''iscreate' == 0 || $TSUSER'user''isadmin'==1 $groupname = trim$POST'groupname';//这里没有过滤 $groupdesc = tsClean$POST'groupdesc';//重点函数tsClean过滤了 if$groupname=='' || $groupdesc=='' tsNotice'小组名称和介绍不能为空！'; //过滤内容...

thinksaas最新版xss2

简要描述： 详细说明： \app\group\action\add.php // 执行发布帖子 case "do" : if $POST 'token' != $SESSION 'token' tsNotice '非法操作！' ; $authcode = strtolower $POST 'authcode' ; if $TSSITE 'base' 'isauthcode' if $authcode != $SESSION 'verify' tsNotice "验证码输入有误，请重新输入！" ; $groupid = intval $POST 'groupid' ; $title =...

Thinksaas官方某帐号泄漏导致邮箱一并泄漏可重置任意用户密码

简要描述： Thinksaas官方某帐号泄漏导致邮箱一并泄漏可重置任意用户密码 详细说明： [email protected] 这是泄漏的帐号 密码社工库就可以直接查询 下面为进入后台以后的截图 接下来在APP管理那里 有个邮箱设置 右键审核原素即可查看密码 下面为进入邮箱以后的截图 找回密码 漏洞证明： 如上...

ThinkSAAS 前台SQL注入（通杀所有版本？？？）

简要描述： 这几天一直在审计thinksaas，几个版本都看过，有个地方感觉有注入一直搞不定。 在此感谢 @狗狗侠 @牛肉包子 两位大牛的指点 详细说明： 看最新版的，16天前更新的。 app/group/action/do.php 看下回复评论出的代码 case "recomment": if$POST'token' != $SESSION'token' echo 1;exit; $referid = intval$POST'referid'; $topicid = intval$POST'topicid'; $content = tsClean$POST'content';...

ThinkSAAS设计缺陷可任意删除他人评论

简要描述： 设计错误吧 详细说明： 我觉得这个不应该是你们的本意吧？ 漏洞证明： 这是他们官方站点就是用他们自己的系统搭建的 http://www.thinksaas.cn/vote/ 投票处，可删除任意用户评论 不用截断 不用改参数 我登陆的这个以18结尾的号，可以删除以30为结尾的号的评论...

ThinkSAAS最新版漏洞打包

简要描述： SQL注入+文件包含+... 向xfkxfk牛学习，多个漏洞打包，希望走一个大厂商流程。 详细说明： 最新版中tsUrlCheck函数引发了多个漏洞 \thinksaas\tsFunction.php function tsUrlCheck$parameter $parameter = trim$parameter; //echo $parameter;exit; $arrStr = strsplit$parameter; $strOk = '%-1234567890abcdefghijklmnopqrstuvwxyz'; foreach $arrStr as $key =...

ThinkSAAS存储型跨站

简要描述： ThinkSAAS存在存储型跨站，可攻击任意用户或盲打管理员，盗取用户cookie等等 详细说明： ThinkSAAS对文章内容过滤不严，导致存在存储型的Flash跨站。由于Flash文件可以执行任意脚本，利用此漏洞我们可以盗取任意用户包括管理员的cookie信息，或进行其它恶意攻击。 漏洞证明： 1、涉及版本：thinksaas2.2-beta 2、登录系统，在文章模块发布文章，在内容处选择插入视频并输入flash文件路径。 3、拦截请求，将标签的allowscriptaccess属性值改为always 4、其它用户登录系统，查看文章时，漏洞触发：...

ThinkSAAS存储型跨站(2处)

简要描述： ThinkSAAS过滤不严导致存储型跨站。可攻击任意用户包括管理员 详细说明： ThinkSAAS对javascript伪协议进行了过滤，但我们可以利用编码巧妙绕过，导致了以下漏洞的产生。 漏洞证明： 1、涉及版本：thinksaas2.2-beta 2、由于浏览器解析不同，此漏洞的测试环境为Chrome和IE，对Firefox无效。 漏洞一： 3、登录系统，在文章模块发布文章，在文章内容中添加超链接，链接路径为：javascriptalert/xss/ 4、拦截请求，系统会自动添加http协议，将超链接href中的http://去掉...

ThinkSAAS 2.2 GET型CSRF到Getshell

简要描述： 后台Getshell本想在XSS漏洞里一起提交的。。。结果我给忘了。 不过后来发现这个洞是Get型的CSRF，利用方便，老少咸宜，在社区CMS中可以说威力无限呀。 详细说明： /app/system/action/plugin.php 83行： case "delete": $apps = $GET'apps'; $pname = $GET'pname'; delDir'plugins/'.$apps.'/'.$pname; qiMsg'删除成功！'; break; 获得了GET到的值以后拼接成路径以后传入delDir函数。delDir函数： / 删除文件夹和文件夹下所有的文...

ThinkSAAS 2.2 存储型XSS(绕过防护机制)

简要描述： rt 详细说明： 富文本过滤的代码片段： function cleanJs$text $text = trim $text ; //$text = stripslashes $text ; // 完全过滤注释 $text = @pregreplace '//', '', $text ; // 完全过滤动态代码 $text = @pregreplace '//', '', $text ; // 完全过滤js $text = @pregreplace '//', '', $text ; // 过滤多余html $text = @pregreplace '//i', '', $te...

ThinkSAAS 2.2-beta 存储型XSS

简要描述： 富文本过滤不严格导致可植入恶意脚本盗取用户cookies 详细说明： 对比了一下 WooYun: Thinksaas存储型XSS ，发现确实更新了。我就无耻的来了。 下面是对富文本过滤的代码片段： function cleanJs$text $text = trim $text ; //$text = stripslashes $text ; // 完全过滤注释 $text = pregreplace '//', '', $text ; // å®Œå…¨è¿‡æ»¤åŠ¨æ€ä»£ç  $text = pregreplace '//', '',...

ThinkSAAS可CSRF删除任意文件 （后台）

简要描述： RT 详细说明： POC : http://localhost/thinksaas/index.php?app=system&ac=sql&ts=delete&sql=../../CHANGELOG.TXT case "delete": $sql = tsFilter$GET'sql'; rmrf'data/baksql/'.$sql; qiMsg'删除成功！如果有其他卷文件请一同删除!'; break; 没有做任何的检查 而且tsFilter貌似是防止SQL注入的吧..... / 删除目录下所有文件 @param unknown $dir / function rmrf$d...