CmsEasy multiple arbitrary file deletion to Getshell-a vulnerability warning-the black bar safety net

CmsEasy multiple arbitrary file deletion can directly delete the waf, the Getshell so Easy! Detailed description: CmsEasy in the background permission to verify the presence of defects, resulting in the landing of the bypass, and override the operation of the background. 1, in the background logi...

大汉版通系统文件上传无限制getshell

简要描述： 这系统貌似还没有人提交getshell的. 详细说明： 有些国家部委也在用这系统， @南京大汉网络有限公司 你们看着办吧. 0x01 漏洞的文件 /lm/sys/opruploadimg.jsp 造成漏洞的部分代码 ifaction.equals"upload" //构造上传类，传入上传的路径 CommonUploadFile upload = new CommonUploadFile strDictionary; upload.setMnLimitsize50; //设置文件总大小 upload.setMnFilesize10; //设置单个文件大小...

新云cms建站系统存在ewebeditor上传和iis解析漏洞可批量getshell

简要描述： 详细说明： 新云cms建站系统存在ewebeditor上传和iis解析漏洞，可批量getshell. 利用ewebeditor上传漏洞可以新建一个1.asp的文件夹，再配合iis的解析漏洞就可以成功的拿到shell. 可通过谷歌获得大量的漏洞网站，关键字如下： inurl:Showservices.asp?id= inurl:showkbxx.asp?id= None...

某版本JEECMS后台存在通用struts2命令执行漏洞可批量getshell

简要描述： 某版本JEECMS后台存在通用struts2命令执行漏洞。 可通过谷歌搜索关键字inurl:login/jeecms.do,可获得多个存在st2的漏洞网站！ 详细说明： 漏洞网站太多，以下只列举了几例 img src="https://images.seebug.org/upload...

FineCMS 最新版存储型xss跨后台getshell和多处xss合集

简要描述： FineCMS 最新版xss跨后台getshell和多处xss合集，我知道这个厂商习惯性忽略，但是这只是一个开始，一个开始，开始........................... 详细说明： 首先我们演示一下第一个xss,通过这个xss，反弹后台getshell: 第一步，我们注册一个用户，如果管理员审核通过，也就是说这个用户是个普通的正常用户 我们去图片发表处： 下来我们看看本页也能弹出来: 下来我们去后台看看 是否能够弹出来： ok 到这里我们已经看到了这个xss，肯定会引起管理员的审核： 下来我们更换xss的payload： 我们用iframe标签： 加载远端js...

FengCMS 修复不当导致getshell

简要描述： FengCMS 修复不当导致getshell，属于修复不当，跟其他的没重复了- -，对审核同学造成的不便深感歉意。 详细说明： 之前提交过一次跟 WooYun: FengCMS新版本重装 漏洞重复了。现在重新看一下。发现修复的有问题，而且install目录默认是不会自动删除的，依然可以getshell！ header"Content-type:text/html;charset=utf-8"; define"TPLINCLUDE",1; // 定义当前路径 define'ABSPATH',dirnameFILE; define'ROOTPATH',dirnameABSPATH...

cmseasy 后台csrf缓存配置文件可导致getshell(2)

简要描述： cmseasy 管理员身份 后台缓存配置文件，没有过滤一个字符导致getshell2 详细说明： 直接到: 然后我们分析代码： websiteadmin.php:lines:25-43: function editwebsiteaction chkpw'websiteedit'; if front::post'submit' $var = front::$post; $path = ROOT.'/config/website/'.front::$post'path'.'.php'; $contenttmp =...

Discuz! 7.x csrf+存储xss(富文本)脱裤(2处)和后台sql(root getshell)(附带exploit)

简要描述： Discuz! 7.x csrf xss富文本脱裤和后台sqlroot getshell,这回个真的给你们发一个实实在在的xss,美包包！！！，求加精！ 详细说明： 今天审核了一下dz 7系列的内容，发现富文本一处代码，可绕过进行xss 首先我们看一下这个富文本绕过，直接看代码： diszuscode.func.php:305-317: function parseaudio$url, $width = 400, $autostart = 0 $ext = strtolowersubstrstrrchr$url, '.', 1, 5; switch$ext case 'mp3...

cmseasy 管理员身份 后台缓存配置文件，没有过滤一个字符导致getshell(3)

简要描述： cmseasy 管理员身份 后台缓存配置文件，没有过滤一个字符导致getshell3 哥就是要找完所有后台shell，让你们后台无处可找，呵呵.......... 详细说明： 直接看代码: unionadmin.php:lines:123-138: if front::post'submit' &&$this-manage-vaild $this-manage-filter$this-Exc; $this-manage-addbefore$this; $this-manage-savebefore; $path = ROOT.'/config/union.php';...

Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

简要描述： Discuz!x xss反弹后台无防御sql注入getshell，这里的xss只是做一个药引子，因为xss来自日志功能，然而这个日志功能却又默认关闭的，为了测试我们开启它。这个漏洞应该是所有dz通杀的，我下载了最新版本的所以测试通过...... 详细说明： 首先我们开启日志功能，然后存储一个xss看看： 测试一个xss页面： 我们调到文章页面看看，是否被执行了： 下来我们看看怎样把这个发给管理员呢，底下有一个举报页面： 我们以管理员的身份看看这个后台的举报请求： 这个过程我们分析完毕了，下来我们看看后台一处，无防御的sql注入：...

PHPOK 最新版CSRF getshell

简要描述： 过滤不严格 详细说明： 漏洞细节： 漏洞一：存储型XSS 漏洞文件：framework/api/postcontrol.php94行） $array"title" = $this-get"title"; .... $this-model'list'-save$array,$tid; 这里是保存用户留言内容的部分操作。$array"title" 是获取的客户输入的主题 再来看获取过程中的过滤: （framework/init.php 第829行） //通过post或get取得数据，并格式化成自己需要的 function get$id,$type="safe",$ext=""...

方维图谱（社会分享系统）前台任意命令执行+直接getshell

简要描述： 福州财易通软件技术有限公司， 方维互联网应用系统开发商 http://www.fanwe.com/ 存在漏洞系统：方维图谱（社会化分享系统），受影响全版本默认配置 详细说明： 首先前台用户注册，然后进入个人设置 自我介绍里填写任意php代码。方维图谱这套系统确定后会进行个人用户模板的缓存，类似dedecms的plus 我这里填写 确定后访问个人资料，这里需要访问2次，第一次是缓存代码，第二次访问则执行代码 http://xxxxxx.com/services/service.php?m=user&a=tip&uid=用户的uid getshell：...

cmseasy 后台缓存配置文件未过滤一个字符导致getshell

简要描述： cmseasy 管理员身份 后台缓存配置文件，没有过滤一个字符导致getshell 详细说明： 啥都不说了 直接看代码： 我们直接到 然后我们分析一下代码: system.php:lines:67: ifaddslashes$POST'customerinfo' $customerinfo='true'; else $customerinfo='false'; $GLOBALS'celsysteminfo'-confaddslashes$POST'url', addslashes$POST'template',...

cmseasy csrf导致sql注入绕过union getshell

简要描述： 上一次做了一个csrf+sql注入getshell的 这一次我继续发一个，由于此属于一个get类型的，所以很简单的，管理员根本就不用去点击，就能触发sql并且getshell 详细说明： 首先我们分析一下sql语句： admin/live/header.php:line:16-21 include'../../include/config.inc.php'; includeCEROOT.'/include/admin/check.inc.php'; includeCEROOT.'/include/celive.class.php'; $adminheader = new...

弱口令突破后台管理端 绕过客户端限制直接getshell

简要描述： jcms的漏洞比较多，做代码审计时发现了很多，先爆一个。 详细说明： 这里是某政府信息公开后台管理系统，地址为：http://xxgk.yuanan.gov.cn/gov/setup/index.html 没有做任何的防暴力破解的措施，这是破解出后台的弱口令 成功登录后台，见到license上传界面 将webshell后缀更改为licence，使用拦截工具绕过客户端校验 将licence后缀替换为jspx。 之前的jcms版本没有对文件后缀做任何限制，2010版jcms在代码中增加了黑名单校验。这里可以使用jspx文件来绕过。 getshell，见图： 漏洞证明：...

逐浪cms多出存储型XSS(劫持cookie可以利用)

简要描述： RT 详细说明： 看着大家都在挖注入，发现官网的测试站点也开始变态了，单引号都直接纳入非法注入检测。 于是无奈之下就，看看都加都不关注的xss，防注入做得确实不错，但是这个跨站漏洞就是坑爹啊、 第一处：OA办公系统 http://demo.zoomla.cn/Mis/OA/ 第二处：社区互动 http://demo.zoomla.cn/User/UserZone/Default.aspx 漏洞证明： 用OA系统办公系统打比方吧。 首先我注册俩个账号分别为zaizai和zaizai1、 1、用户zaizai1给用户zaizai发送一份邮件，标题处存在xss漏洞。...

用友网络商城命令执行(可getshell)

简要描述： 详细说明： 用友网络商城ThinkPHP2.2命令执行. 1.网络商城地址 http://ec.yonyou.com 2.命令执行 http://ec.yonyou.com/index.php/module/action/param1/$phpinfo phpinfo IP地址 物理路径 漏洞证明：...

ThinkSAAS 2.2 GET型CSRF到Getshell

简要描述： 后台Getshell本想在XSS漏洞里一起提交的。。。结果我给忘了。 不过后来发现这个洞是Get型的CSRF，利用方便，老少咸宜，在社区CMS中可以说威力无限呀。 详细说明： /app/system/action/plugin.php 83行： case "delete": $apps = $GET'apps'; $pname = $GET'pname'; delDir'plugins/'.$apps.'/'.$pname; qiMsg'删除成功！'; break; 获得了GET到的值以后拼接成路径以后传入delDir函数。delDir函数： / 删除文件夹和文件夹下所有的文...

ThinkSAAS前台Getshell

简要描述： 一个二次操作造成的getshell。 官网又挂加速乐，又审核什么的，懒得测试官网了，就麻烦审核大人本地测试拉 详细说明： 说一下原理吧。 /app/photo/action/album.php 245行 //批量修改执行 case "infodo": //用户是否登录 $userid = aac'user'-isLogin; $albumid = intval$POST'albumid'; $albumface = tsClean$POST'albumface'; $arrPhotoId = $POST'photoid'; $arrPhotoDesc =...

Finecms大众版 v2.3.4前台getshell(一定条件)

简要描述： 愉快地打脸打脸打脸，厂商你真的考虑周到了吗？ 我已不在乎你是否忽略，给多少rank，我是来宣传我们团队的：parsec.me 详细说明： 依旧是finecms用户头像上传部分：/member/controller/Account.php 412行： public function upload // 大众版头像上传处理 2014-6-15 if !isset$GLOBALS'HTTPRAWPOSTDATA' exitfunctionexists'iconv' ? iconv'UTF-8', 'GBK', '环境不支持' : 'The php does not support'...