qibocms 新闻系统 Getshell (需结合解析漏洞)

简要描述： IIS || Apache。 详细说明： http://bbs.qibosoft.com/down2.php?v=news1.0down 下载地址。 在news/member/post.php中 requireonceMpath."inc/check.postarticle.php"; if$job=='postnew' if$step=='post' postnew; //生成静态 makearticlehtml"$Murl/member/post.php?job=endHTML&aid=$aid"; $mid && $mid继续发表新主题 续发本主题 返回主题列表 查看主...

程氏舞曲CMS储存型 xss（5）

简要描述： rt，swf啊。。 详细说明： 上传视频处 。对于外部swf文件 过分信任 可插入 如下代码 构造 恶意的 swf 执行 js 像这样 alert 这是 获取cookie的swf代码 package import flash.external.ExternalInterface; import flash.display.Sprite; import flash.display.Sprite; import flash.events.Event; import flash.net.URLLoader; import flash.net.URLRequest; import...

PHPYUN cloud talent system background CSRF Getshell-a vulnerability warning-the black bar safety net

phpyun background no authentication token, by the CSRF directly getshell First, from the background getshell start. The web site's configuration file,/plus/config.php using double quotes to do the key value, which leads to security issues. We can put php code to write into the double quotes insid...

大汉网络JCMS Getshell

简要描述： 大汉网络JCMS Getshell，综合利用。 详细说明： 通过之前的任意文件下载等漏洞能够拿到管理员密码： 登录初始化管理平台： 在上传许可的地方，只在本地做了后缀明判断： 绕过本地js后缀限制，上传shell： 漏洞证明： oprlicenceinfo.jsp 代码分析： //上传文件 ifstrBillStatus.equals"U" //文件路径，上传目录为系统根目录 String strDictionary = application.getRealPath"" +"/"; java.io.File file = new java.io.File...

phpdisk任意文件上传getshell(官网已shell)

简要描述： M老师指哪个cms，我就打哪个cms真是幸福 无需登录，无需权限，直接getshell。 详细说明： 上传位置在plugins/phpdiskclient/clientsub.php 首先验证user-agent，然后从解密字符串里拿到了一个用户名和密码： None 选择shell上传，中途抓包。 改user-agent为“phpdisk-client”，不改不能上传。 发送。 返回包是这样的： 这个时候查看/system/cache/即可看到shell： 官网demo站shell已拿下：...

Finecms v2.3.2前台设计缺陷导致暴力Getshell

简要描述： 权限竞争性上传缺陷。 版本:FineCMS for 海豚大众版 v2.3.2 详细说明： 首先，在phpcms之前的那个上传洞出来的时候，我就注意到finecms升级了一个补丁包。打开一看就是补的类似phpcms的洞，于是我知道finecms在上传头像处用的与phpcms是类似的代码。 然后phpcms后来又出了一个暴力上传的缺陷（ WooYun: PHPCMS前台设计缺陷导致任意代码执行 ），我猜finecms没有补，一来看果然是这样。 先来介绍一下吧，与phpcms类似，finecms对上传头像是这样处理的： 用户上传压缩包 = php解压 = 递归删除非.jpg的文件...

齐博CMS任意文件读取(鸡肋，需注册)

简要描述： RT 详细说明： 漏洞一:鸡肋的getshell需注册并能发布文章,需配合apache、iis6解析漏洞 文件 /inc/articfunction.php //采集外部图片 function getoutpic$str,$fid=0,$getpic=1 global $webdb,$lfjuid; if!$getpic return $str; pregmatchall"/http://^ '"+.gif|jpg|png/is",$str,$array; $filedb=$array0; foreach $filedb AS $key=$value if...

用友CRM客户关系管理系统+自动授权+GETSHELL+system权限(无需登录通杀所有版本)

简要描述： 用友CRM客户关系管理软件访问某文件时自动分配全局管理员session信息导致可直接使用系统管理员账号身份登录crm及GETSHELL等。 详细说明： 1. 漏洞文件：/webservice/service.php 注释中写得很明白了 中的SESSIONID信息 pregmatchall"/a-zA-Z0-9+/", $GLOBALS'HTTPRAWPOSTDATA', $matches, PREGSETORDER; //fileputcontents"c:/aa.txt", $matches01; ifcount$matches 0 $UserSessionID =...

Srun3000命令执行第3弹

简要描述： 第3弹 详细说明： 这个文件就是为命令之行而生的... /srun3/srun/web/raddmdrop.php 在8080端口 if $POST'sid' $fp = popen "/srun3/bin/raddrop -dm ".$POST'sid', "r" ; //post命令执行 if $fp $con = fread $fp, 128 ; pclose $fp ; 依然root 可getshell，脱裤。 漏洞证明：...

Maccms V8 后台Getshell #2（绕过过滤）

简要描述： 现在 V8版本 基本全部文件都有zend加密了。 而且还有360safe3.php保护 刚开始以为没搞头的，结果有个妹子发来微信。 妹子：在干嘛？ 我：挖洞 妹子：一个人挖？ 我：对啊！ 妹子：我过去陪你一起挖吧！ 我马上关机。擦，想跟老子抢乌云币？果断一个人作死开挖 详细说明： 注意下，这里@农村教师 WooYun: 苹果CMS全版本getshell打包第一弹 之前提交过类似的后台getshell，但是修补了。。。 不废话，直接可耻的绕过它 1. 目录浏览 maccms后台有个接口，但是限制了，只能访问目录template里的文件...

espcms后台继续getshell

简要描述： 测试版本是官网的最新：5.8.25.02.08 UTF8 还是上次的http://www.wooyun.org/bugs/wooyun-2013-025665的那个问题没有修补完全、 当然前提是我们已经拿下后台. 详细说明： 编辑模版这里 文件\adminsoft\control\templatemain.php 第364行开始 $filecontent = stripslasheshtmlspecialcharsdecode$content; if strpos$filecontent, "" exit'false';...

Srun3000计费系统无限制多处任意命令执行getshell

简要描述： Srun3000计费系统无限制任意命令执行getshell 详细说明： 文件： /enus/radonline.php srun3/web/online.php 4-76行 srun3/web/radonline.php 4-76行 if$POST"action"=="dm" $cmd = "/srun3/bin/raddrop -sdm ".$POST"sid"; if$fp=popen$cmd, "r" $con = fread$fp, 128; pclose$fp; $con = strreplace "\n", " ", $con; echo $con; exit;...

U-mail 最新版漏洞大阅兵(信息泄露，多个getshell，多处SQL注入漏洞，远程代码执行)

简要描述： 疯狗、 xsser finger求打雷 详细说明： 注：一个getshell重复 http://wooyun.org/bugs/wooyun-2014-059954 疯狗、 xsser finger求打雷 1、 信息泄露 phpinfo信息泄露 http://www.xxx.com/webmail/client/mail/index.php?module=test&action=info phpinfo信息泄露 其中源码如下：WorldClient\html\client\mail\module\info.php if !defined "PRELOADOK" exit...

PHPSHE B2C 重装。

简要描述： PHPSHE B2C商城系统 v1.2build 20140519 UTF8 看到更新了 下一个下来看看。 我擦 敢判断一下lock吗? 详细说明： 在install/index.php errorreportingEALL ^ ENOTICE; datedefaulttimezoneset'PRC'; header'Content-Type: text/html; charset=utf-8'; //改写不安全的registerglobal和防sql注入处理 if @iniget'registerglobals' foreach$REQUEST as $name =...

KPPW Sql 最新版 可修改管理密码

简要描述： 更新日期: 2014-05-19 12:17:29 。。可以修改管理密码 但是修改的密码是不可控的。 还是老老实实注入把。 详细说明： 在api/uc.php中 if!defined'INUC' requireonce '../appcomm.php'; requireonce SROOT.'/config/configucenter.php'; $get = $post = array; $code = @$GET'code'; parsestrauthcode$code, 'DECODE', UCKEY, $get; ifDEBUGUC==TRUE...

Odd guest stars of a certain sub-patch not getshell-a vulnerability warning-the black bar safety net

Problem site: wan.7k7k.com Nginx file parsing vulnerability 0x00:everything is beautiful to blame ! In the site to see a beauty player, to view the next image address, 发现url为http://wan.7k7k.com/uploadfiles/userfiles/image/%E7%A5%9E%E6%9B%B2/%E7%8E%A9%E5%AE%B62.jpg Try the url+/x. php can...

PHPEMS (在线考试系统) 设计缺陷 Getshell一枚(官网已shell)

简要描述： 号称是最好用的开源php考试系统? 果断来看看。 已拿下官网。 详细说明： PHPEMS整合了uc。 在api/config.inc.php中 define'UCCONNECT', 'mysql'; define'UCDBHOST', 'localhost'; define'UCDBUSER', 'root'; define'UCDBPW', 'root'; define'UCDBNAME', 'ucenter16'; define'UCDBCHARSET', 'utf8'; define'UCDBTABLEPRE', 'ucenter16.uc';...

大汉网络JCMS又一上传漏洞可被Getshell（需登陆）

简要描述： 详细说明： 问题出在jcms/setup/oprupload.jsp中 该功能为导入一个更新包... CommonUploadFile upload = null; ifrequest.getMethod.toUpperCase.equals"POST" JcmsUpdaterecordBLF blf = new JcmsUpdaterecordBLF"1"; JcmsUpdateRecordEntity entity = new JcmsUpdateRecordEntity; //解压路径 String strFilePath = strSysPath +...

大汉版通系统再次getshell（需登陆）

简要描述： 大汉版通系统可以再次getshell，外加一处任意文件下载 详细说明： 注：该系统为信息公开系统xxgk 另外这个漏洞同样比较有意思，不知道程序员的逻辑是什么.. 1 任意文件下载 /xxgk/m57/replace/export.jsp 代码为 可以看出filename和savename直接get提交，SO.. 2 getshell /xxgk/m57/replace/oprimportinfo.jsp 产生漏洞的代码为 % //... // 表单变量初始化 String strTpliID = ""; String strTplfnbillstatus =...

某通用CRM系统任意文件上传

简要描述： 某通用CRM系统任意文件上传 详细说明： 用友旗下的畅捷通CRM http://www.chanjet.com/bencandy.php?fid=41&id=185 如图 存在任意文件上传，我们到官方demo站，crm.chanjet.com,发现弱口令 test 111111，成功登入 选择产品，看到附件 我们来新建一个附件，直接上传1.php，上传成功，我们来访问下， 上传后缀成了php.bak，由于官方使用apache搭建的，存在解析漏洞，所以这个是可以get...