29 matches found
Phpdisk E_Core 3.0 suffers from SQL injection vulnerability
PHPDisk E-Core Enterprise Office Series is a set of enterprise network office, enterprise paperless office and document management system for the network cloud storage disk system. Phpdisk ECore 3.0 'uckey' SQL injection vulnerability. Allow attackers to exploit the vulnerability to change any...
Code execution vulnerability in Phpdisk E_Core includes/dosafe.php file
PHPDisk E-Core Enterprise Office Series is a set of enterprise network office, enterprise paperless office and document management system for the network cloud storage disk system. Phpdisk ECore version 3.0 includes/dosafe.php file has a code execution vulnerability. Allows an attacker to remotel...
PHPDisk F-Core V1.1 profile.inc.php SQL注入漏洞
No description provided by source...
phpdisk Z-core网赚版子程序过滤不严,导致可删除文件.
简要描述: phpdisk Z-core网赚版下载子程序sub过滤不严,导致可删除任意文件. 详细说明: 我们先来看子程序中phpdiskdelprocess.php这个文件相关代码。 parsestrpdencode$str,'DECODE'; 这里直接把传进来的值,解析到变量中了。但是被加密了,看似不可利用,其实不然。我们再来看dl.php。这个是最后下载页。 parsestrpdencodebase64decoderawurldecode$str,'DECODE';...
phpdisk 注入一枚。
简要描述: rt 详细说明: 发现竟然报错了。 看了一下所执行的语句 delete from pdfile2tag where fileid='1' and tagname not in 'asd' 因为phpdisk有全局转义 这样就知道肯定是有个过滤函数 把单引号替换空了 就留下了转义符 但是只有一个参数可控 能引入单引号也没啥用啊。 在modules/public.inc.php中 $tagarr = explode',',$tags; ifcount$tagarr 5 $error = true; $sysmsg = 'toomanytags';...
PHPDisk F-Core v1.1 曲折实现的二次注入
简要描述: 发现二次注入比较明显,由于不报错,加上注入点位置比较奇葩,利用起来颇费周折 可能是技术不过关没有想到更好的利用办法了 详细说明: 二次注入是在ajax.php中发生的 主要流程是uploadcloud时在写入的内容,在saveas时被读取,但是没有进行过滤,造成了二次注入 来具体看看代码,首先是uploadcloud case 'uploadCloud': $folderid = intgpc'folderid','P',0; $folderid = $folderid ? $folderid : -1; $data = trimgpc'data','P','';...
phpdisk代码设计缺陷导致SQL注入一枚
简要描述: 攒wb 详细说明: 漏洞存在版本为PHPDisk F-Core系列 测试版本为PHPDisk F-Core v1.1 20140703 SQL注入在发布资源时被触发,参数posttag为注入点,上代码 /modules/post.inc.php,第124行左右 $db-queryunbuffered"insert into $tpfposts set ".$db-sqlarray$ins.""; $pid = $db-insertid; maketags$tags,$tagarr,$pid; //注入点 $db-queryunbuffered"update...
phpdisk V7 注入一枚(直接出数据)。
简要描述: PHPDisk网盘系统 v7.0 20140529更新: 修正网盘云上传无法显示文件 部分主机无法使用系统验证码 端午放假,躁起来。 详细说明: WooYun: phpdisk V7 sql注入2 在爆了这个洞之后 看看phpdisk怎么修复的。 $file = unserializebase64decode$data; /foreach$file as $k=$v $file$k = $db-escape$file$v; / //没搞懂这里为什么要注释掉 如果不注释掉还不会出现这问题。 $filefileid = int$filefileid; $filefilesize ...
PHPDISK 二次注入一枚。
简要描述: No check out。 详细说明: 在ajax.php中 $filefileid = int$filefileid; $filefilesize = int$filefilesize; $filefileextension = $db-escapetrim$filefileextension; $filefilename = $db-escapetrim$filefilename; $num = @$db-resultfirst"select count from $tpffiles where yunfid='$filefileid' and...
phpdisk V7 设计缺陷可致脱裤(有条件)
简要描述: 缺陷。 详细说明: 来到后台 看看数据库备份后的命名 1 phpdisk20140530Jev0jqTJ1.sql 0.04 M 2014-05-30 22:30:10 2 phpdisk20140530ealdGDeq1.sql 0.04 M 2014-05-30 22:30:00 可以看到是phpdisk日期随机字符1.sql 在windows下 这里超过了9个字符, 可以利用短文件名。 而且如果利用短文件名的话 直接phpdis1.sql 就可以了。。 这完全不用这遍历啊。。。 只要管理员备份了数据库,直接访问就行了。 xfkxfk这篇写得挺好的...
phpdisk任意文件上传getshell(官网已shell)
简要描述: M老师指哪个cms,我就打哪个cms真是幸福 无需登录,无需权限,直接getshell。 详细说明: 上传位置在plugins/phpdiskclient/clientsub.php 首先验证user-agent,然后从解密字符串里拿到了一个用户名和密码: None 选择shell上传,中途抓包。 改user-agent为“phpdisk-client”,不改不能上传。 发送。 返回包是这样的: 这个时候查看/system/cache/即可看到shell: 官网demo站shell已拿下:...
phpdisk最新20140529版注入 无视防御
简要描述: 我发的好像都是无视防御的。。这个也是,输入点的问题 绕过全局过滤 详细说明: ajax.php行75 case 'uploadCloud': $folderid = intgpc'folderid','P',0; $folderid = $folderid ? $folderid : -1; $data = trimgpc'data','P',''; …………省略部分代码………… if$data $filekey = random8; ifstrpos$data,','!==false $addsql = $msg = ''; $arr = explode',',$data;...
PHPDisk E_Core 2.5 /phpdisk_del_process.php 代码执行漏洞
No description provided by source...
PHPDisk E-Core phpdisk_del_process.php 代码执行
phpdiskdelprocess未对fileid做过滤,导致文件删除,文件删除日志delfilelog可写入代码,并执行。需要开启registerglobals在php5.3废弃5.4移除,代码执行需要关闭shortopentag,影响范围小。 0 2.5 更新到最新版本...
PHPDISK phpdisk_del_process.php SQL注入漏洞
No description provided by source...
phpdisk V7 补丁过滤不严继续注入
简要描述: 看到phpdisk 又更新了 再次上去看看。上面说的是 /PHPDisk网盘系统 v7.0 20140422更新说明: 二次修正Cookie登录验证问题 修正获取文件链接权限问题 云上传造成sql注入问题/ 修复了注入问题。 我勒个擦, 下载下来一看。 你这补丁完全打偏了啊。 没修复到实处。。 详细说明: 在ajax.php中 上个漏洞地址: WooYun: phpdisk V7 sql注入2 看修改了哪些地方。 $ins = array 'yunfid' = int$filefileid,//补丁后这里转整 'filename' =...
PHPDisk E-Core 补丁过滤不严继续重装
简要描述: 过滤不严。 详细说明: WooYun: PHPDisk E-Core 漏洞 可注入 可重装 鸡肋可getshell 上个地址。 今天看到发布补丁了 去下载来看看。 在phpdiskdelprocess.php中 parsestrpdencode$str,'DECODE'; $pp = iconv'utf-8','gbk',$pp; $arr = explode'.',$pp; $fileid = int$fileid; $filename = $db-escape$filename; $srcfile = $arr0.getrealext$arr1; 这里官方的修复方式是...
phpdisk V7 sql注入2
简要描述: 周末回家,挖洞玩玩。 刚从官网上面下载的。 过滤不严。 详细说明: 在ajax.php中 case 'uploadCloud': $folderid = intgpc'folderid','P',0; $folderid = $folderid ? $folderid : -1; $data = trimgpc'data','P',''; $ischecked = $ispublic ? $settings'checkpublicfile' ? 0 :1 : 1; if$settings'allfileshare' $inshare = 1; else $inshare =...
phpdisk V7 sql盲注一枚
简要描述: 又到周末。 详细说明: 刚从官网上面下载下来的。 plugins\phpdiskclient\clientsub.php 我看了下这目录下的其他几个文件 在iconv后都调用了escape函数来转义 但是这个没有。 造就了注入。 $agent = $SERVER'HTTPUSERAGENT'; if$agent!='phpdisk-client' exit'PHPDisk Access Deny Invalid Entry!'; $uinfo = trimgpc'uinfo','P',''; parsestrpdencodebase64decode$uinfo,'DECODE...
phpdisk 6.8.0 /plugins/phpdisk_client/passport.php SQL注入漏洞
No description provided by source...