154 matches found
thinksaas 存储型xss漏洞
简要描述: thinksaas 存储型xss 详细说明: 未对文章标题的代码进行过滤 代码如下 这里点击组长们,就会出现xss了 漏洞证明:...
ThinkSAAS因过滤不严导致的存储型XSS(两处)
简要描述: 因某函数的过滤不严,导致存在存储型XSS 详细说明: 第一处XSS漏洞: 问题存在于 : http://localhost/thinksaas/index.php?app=group&ac=create&ts=do 我们看看代码 //执行创建小组 case "do": if$TSAPP'options''iscreate' == 0 || $TSUSER'user''isadmin'==1 ifintval$POST'grpagreement' != 1 tsNotice'不同意社区指导原则是不允许创建小组的!'; $groupname = t$POST'groupname'...
ThinkSAAS某处设计缺陷可能导致被拖库利用(环境与功能条件限制)
简要描述: ThinkSAAS某处设计缺陷可被直接拖库 详细说明: 首先我们来科普一下windows的短文件名,也就是下面我们要用到的。 背景知识: Windows 支持的长文件名最多为 255 个字符。Windows 还以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows 的程序访问这些文件。 Windows 按以下方式从长文件名生成短文件名: Windows 删除文件名中的任何无效字符和空格。无效字符包括: . ” / \ : ; = , 由于短文件名只能包含一个英文句点 .,因此,Windows...
ThinkSAAS最新版绕过过滤继续注入
简要描述: ThinkSAAS最新版绕过过滤继续注入。 无gpc限制,无需登录认证。 详细说明: 旧版本分析如下: WooYun: ThinkSAAS SQL注入6 在新版本里进行了两处修复: 第一处修复,文件\app\tag\action\add.php: case "do": $objname = tsFilter$POST'objname'; $idname = tsFilter$POST'idname'; $objid = intval$POST'objid'; $tags = t$POST'tags';...
ThinkSAAS最新版绕过过滤继续注入2处
简要描述: ThinkSAAS最新版绕过过滤继续注入2处 无视gpc,无需登录 详细说明: 之前这个漏洞有 ′ 雨。分析过: WooYun: Thinksaas某处绕过过滤的注射漏洞 现在官方有最新版,做了修改,加了过滤,但是过滤不严格,可以绕过继续注入。 第一处: 现在最新的代码/app/tag/action/addajax.php case "do": $objname = t$POST'objname'; $idname = tsFiltert$POST'idname'; $objid = t$POST'objid'; $tags = t$POST'tags';...
ThinkSAAS某处平衡权限
简要描述: ThinkSAAS某处平衡权限 详细说明: 能够越权审核数据,越权删除数据 //执行审核 case "do": $topicid = intval$GET'topicid'; $new'group'-update'grouptopic',array 'topicid'=$topicid, ,array 'isaudit'='0', ; //统计需要审核的帖子 $counttopicaudit = $new'group'-findCount'grouptopic',array 'groupid'=$groupid, 'isaudit'='1', ; // 统计小组下帖子数并更新...
ThinkSAAS多处越权CSRF包含漏洞
简要描述: ThinkSAAS的SQL注入差不多了,剩下的就是很多越权,很多CSRF,还有几处包含漏洞了。 详细说明: ThinkSAAS的SQL注入差不多了,剩下的就是很多越权,很多CSRF,还有几处包含漏洞了,也一起发了吧,求给力哦,来个大厂商吧! 第一处越权: Thinksaas在编辑文章内容时,没有判断此文章的发表用户,造成任意用户可修改任意用户文章内容。 来看看编辑文章的代码,/app/article/action/edit.php case "do" : $articleid = intval $POST 'articleid' ; $cateid = intval $POS...
ThinkSAAS SQL注入漏洞打包6-10
简要描述: 详细说明: 上个注入大礼包,终于走了一个大厂商! 看来还是打包来的划算,最后一个注入大礼包了。 这个漏洞完了,回给出修复方案,求给力! 第一处SQL注入 /app/group/action/add.php // 执行发布帖子 case "do" : if $POST 'token' != $SESSION 'token' tsNotice '非法操作!' ; $authcode = strtolower $POST 'authcode' ; if $TSSITE 'base' 'isauthcode' if $authcode != $SESSION 'verify'...
ThinkSAAS逻辑漏洞可致拖库
简要描述: ThinkSAAS的一个逻辑漏洞导致可以实时备份网站数据库,同时可以获取备份数据库文件名。 下载实时备份的数据库实现脱裤。漏洞影响所有版本。 详细说明: thinksaas系统使用常量INTS来控制页面的访问,然后在每个功能模块用一句代码: defined'INTS' or die'Access Denied.'; 来限制访问,这样设计带来的问题是,一个文件包含可以通杀,越权访问执行任意功能模块。 看到/app/user/action/plugin.php代码: fetchallassoc"SHOW TABLES"; foreach$arrTables as $key=$it...
Thinksaas 失败的getshell & 一枚注入。
简要描述: /为什么最新一直被走小厂商? 累觉不爱。/ 本来还以为能够直接前台getshell的。 能直接把代码写入文件。 但是最后也都败给了转义符。 还是来注入把。 详细说明: 0x01 失败的Getshell。 \app\mail\action\admin\do.php 访问这里 无需登录。 $arrData = array 'appname' = trim$POST'appname', 'appdesc' = trim$POST'appdesc', 'isenable' = trim$POST'isenable', 'mailhost' = trim$POST'mailhost',...
Thinksaas存储型XSS
简要描述: 点击触发,因为多处调用的同一个函数所以多处存在问题 之前还交过一个它的sql注入一个越权。。求审核……审核……核 详细说明: Thinksaas是一款轻量级开源社区系统,界面我很喜欢。官网在http://www.thinksaas.cn/。 因为是一个类似论坛的社区,所以前台难免会有富文本编辑器,而处理不好富文本的话就容易产生XSS。自从看了M老师的文章,我对XSS也有了进一步的认识,所以才能找到Thinksaas过滤不严的XSS。 我们先看它使用的哪个函数对XSS进行的过滤,\thinksaas\tsFunction.php中: / 过滤脚本代码 @param unknow...
ThinkSAAS 最新版SQL注入之二
简要描述: ThinkSAAS 最新版2.1,官方2月15日更新,SQL注入第二弹 详细说明: 上传资料处/app/attach/action/upload.php: case "do": $userid = intval$GET'userid'; $albumid = intval$GET'albumid'; if$userid=='0' || $albumid == 0 echo '00000'; exit; $attachid = $new'attach'-create'attach',array 'userid' = $userid,...
ThinkSAAS 设计缺陷导致严重漏洞
简要描述: ThinkSAAS 设计缺陷导致严重漏洞 详细说明: ThinkSAAS 的管理后台是system目录。 但是在每一个功能的目录下有一个amdin目录,这下面的功能和system管理后台功能一样。 如\app\article\action\admin\post.php findAll'article',null,'addtime desc',null,$lstart.',20'; $articleNum = $new'article'-findCount'article'; $pageUrl = pagination$articleNum, 20, $page, $url;...
Thinksaas最新版注入无视GPC
简要描述: thinksaas最新版2.1某处sql注入修补不完善,继续注入。 详细说明: Thinksaas是一款轻量级开源社区系统,界面我很喜欢。官网在http://www.thinksaas.cn/。 说到无视GPC,大家想到什么。Get、Post、Cookie请求不好用的时候,还能用到什么? 当然是SERVER或FILE。 这个cms在全局文件中使用了addslashes对GET、POST、COOKIE进行了过滤,而且在操作数据库的函数中,在where的位置又用了mysqlrealescapestring,所以使得游戏变得很难。...
ThinkSAAS 最新版SQL注入之一
简要描述: ThinkSAAS 最新版2.1,官方2月15日更新,SQL注入第一弹 详细说明: 文件/app/photo/action/album.php //批量修改执行 case "infodo": //用户是否登录 $userid = aac'user'-isLogin; $albumid = intval$POST'albumid'; $albumface = tsClean$POST'albumface';//进行了过滤,但未过滤完全 $arrPhotoId = intval$POST'photoid'; $arrPhotoDesc = $POST'photodesc';...
Thinksaas某处平衡权限漏洞
简要描述: Thinksaas某处平衡权限漏洞,可越权操作。(不用登陆即可) 详细说明: Thinksaas是一款轻量级开源社区系统,界面我很喜欢。官网在http://www.thinksaas.cn/。 出问题的地方在会员上传资料处/app/attach/action/upload.php,这是上传资料处代码: ...30行 case "do": $userid = intval$GET'userid'; $albumid = intval$GET'albumid'; if$userid=='0' || $albumid == 0 echo '00000'; exit; $attach...
Thinksaas v2.1 2枚注入。
简要描述: 依旧过滤不严。 详细说明: 这次写两个把。。 - - 这两个同一文件的 哈哈。 依旧是越权。 \app\group\action\admin\group.php 无需管理 只需要一个前台注册账户就能访问。 真正的管理后台在\app\system\action\ 但是为毛这admin目录下的文件都能做很多事? 注入第一枚。 case "adddo": $userid = intval$POST'userid'; $strUser = $db-oncefetchassoc"select from ".dbprefix."userinfo where...
Thinksaas v2.1 Sql Injection
简要描述: 今天看到发布了2.1就去下载了个看看。 但是还是有洞没补。 详细说明: \app\article\action\admin\cate.php 这文件在admin目录下 是为了让是管理才能访问的? 但是我自己在前台注册了一个用户, 可以直接访问到。 难道这是传说中的越权? case "editdo": $cateid = intval$POST'cateid'; $catename = tsClean$POST'catename'; $new'article'-update'articlecate',array 'cateid'=$cateid, ,array...
Thinksaas某处绕过过滤的注射漏洞
简要描述: 添加标签过滤不严。 详细说明: 今天下了一个thinksaas 最新版, 就看了看 在xfkxfk 爆了一些洞后 还是变安全了一些。 但是还是有很多依旧没过滤。 xfkxfk 爆了app/tag/action/add.php 我看的漏洞文件 app/tag/action/addajax.php case "do": $objname = t$POST'objname'; $idname = t$POST'idname'; $objid = t$POST'objid'; $tags = t$POST'tags';...
ThinkSAAS SQL注入漏洞
简要描述: ThinkSAAS SQL注入漏洞 详细说明: 问题在上传附件处,/app/photo/action/do.php: //上传 $arrUpload = tsUpload$FILES'Filedata',$photoid,'photo',array'jpg','gif','png'; if$arrUpload $new'photo'-update'photo',array 'photoid'=$photoid, ,array 'photoname'=tsClean$arrUpload'name',//没有过滤,导致SQL注入...