Command Execution Vulnerability in PHPEMS Backend

PHPEMS is an open source Chinese online test system, the system is based on PHP for development, is a set of online tests, video playback and other functions, on the operation of the simple domestic boutique system. PHPEMS backend command execution vulnerability exists. Attackers can use this...

Phpems V3.1 Backend Editor Has Arbitrary File Upload Vulnerability

PHPEMS PHP Exam Management System online mock exam system based on PHP + Mysql development, is a support for a variety of question types and presentation of PHP online mock exam system. Phpems V3.1 version of the backend editor exists arbitrary file upload vulnerability, due to the backend editor...

phpems 多处sql注射

简要描述： phpems 多处sql注射 详细说明： 百度搜索： title:PHPEMS无纸化模拟考试系统 ev.cls.php: public function getClientIp if!isset$this-e'ip' if getenv"HTTPCLIENTIP" && strcasecmpgetenv"HTTPCLIENTIP", "unknown" $ip = getenv"HTTPCLIENTIP"; else if getenv"HTTPXFORWARDEDFOR" && strcasecmpgetenv"HTTPXFORWARDEDFOR", "unknown" $...

代码审计之PHPEMS前台四处注入<官网demo演示>

简要描述： 代码审计之PHPEMS前台四处注入 详细说明： 官网：http://phpems.net 官方演示站：http://phpems.net/2014 分析过程如下图： 漏洞证明： 证明： 需要清空cookie，代码条件 1、http://phpems.net/2014//index.php?exam-api-login GET /2014//index.php?exam-api-login HTTP/1.1 Host: phpems.net User-Agent: Mozilla/5.0 Windows NT 6.1; WOW64; rv:36.0 Gecko/20100101...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 9． Phpems某处存在SQL注入漏洞 存在注入代码的位置在/app/exam/phone.php的exercise函数中，具体位置在695行 $questionids = $this-question-selectQuestionsByKnows$args'knowsid',$args'number',$args'questid'; 这里的三个参数回溯下 if$this-ev-get'setExecriseConfig' $args = $this-ev-get'args'; 。。。 都是可以控制的 进入函数内部 public...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 8.PHPEMS某处SQL注入漏洞 存在注入漏洞的代码位置是/app/exam/phone.php的exercise函数中 具体存在漏洞地方位于239行附近 $numbers$p'questid' = intvalceil$this-exam-getQuestionNumberByQuestypeAndKnowsid$p'questid',$knowids; 这里getQuestionNumberByQuestypeAndKnowsid第二个参数$knowids是完全可控的 进入函数内部 public function...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 10. Phpems某处存在SQL注入漏洞 存在注入漏洞的代码位于/app/exam/phone.php的favor函数中在这个函数中 具体位置如下 1029行往下 if$search'knowsid'$args = "quest2knows.qkknowsid IN $search'knowsid'"; if$type if$search'questype'$args = "questionrows.qrtype = '$search'questype''"; $favors =...

phpems多处水平权限漏洞可进行订单操作

简要描述： phpems多处水平权限漏洞可进行订单操作 详细说明： 3.网站多处存在平行权限漏洞 存在漏洞的代码位置在/app/user/center.php的payfor函数中 public function payfor $subaction = $this-ev-url3; $orderstatus = array1='待付款',2='已完成',99='已撤单'; $this-tpl-assign'orderstatus',$orderstatus; switch$subaction case 'remove': $oid = $this-ev-get'ordersn'; $ord...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 6.phpems某处存在SQL注入漏洞 存在注入漏洞的代码位置是/app/exam/app.php的exercise函数中 具体代码在靠后的位置928行左右 $questionids = $this-question-selectQuestionsByKnows$args'knowsid',$args'number',$dt;//SQL注入漏洞 这里的参数$args'knowsid' 回溯898行$args = $this-ev-get'args';可以从URL控制 然后进入函数 public function...

phpems某处设计不当可任意用户登陆

简要描述： phpems某处设计不当可任意用户登陆 详细说明： 马上要去实习了，时间越来越珍贵，再发一个cms的吧 1.Phpems存在一个平行权限和垂直权限的奇葩漏洞，利用这个漏洞可以登录任意用户包括管理员。 具体出现漏洞的地方在/app/exam/api.php的login函数中 //通过接口进行登录 public function login //print "start";exit; $sign = $this-ev-get'sign'; $userid = $this-ev-get'userid'; $username = $this-ev-get'username';...

PHPEMS多处存在水平权限问题

简要描述： PHPEMS多处存在水平权限问题 详细说明： 7.多处逻辑漏洞导致平行权限问题 Phems中多处存在平行权限问题，因为要杜绝这个问题必须每次数据库操作都要带上sessionuser但是phems的程序员却非常不配合，导致了多处存在平行权限的问题，我查阅了/app/exam/app.php这一页代码，给出具体出现的问题如下 1. 2108行附近 //删除一个错题记录// 平行权限漏洞 case 'delrecord': $recordid = $this-ev-get'questionid'; $this-favor-delRecord$recordid;...

phpems某处设计失误导致3枚SQL注入漏洞

简要描述： phpems某处设计失误导致3枚SQL注入漏洞 详细说明： 4. PHPems再来3枚SQL注入漏洞吧 存在漏洞代码位置在/app/exam/app.php的lesson函数中 public function lesson $action = $this-ev-url3; $page = $this-ev-get'page'; switch$action case 'ajax': switch$this-ev-url4 case 'questions': $number = $this-ev-get'number'; if!$number$number = 1; $quest...

phpems前台某4处getshell漏洞

简要描述： phpems前台某4处getshell漏洞 详细说明： 2.phpems前台某4处getshell漏洞 存在漏洞的代码在/app/document/api.php的upload,uploadfile,swupload,swfuploadvideo这四个函数上，因为这四个函数都是处理上传文件的，而且处理方式都一模一样，所以均存在任意文件上传漏洞 首先这四个函数通过注册用户登录，调整URL参数均可以访问到 接下来我以 public function swfuploadvideo $path = 'files/attach/images/content/'.date'Ymd'.'/...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 5.phpems某处SQL注入漏洞 存在注入漏洞代码位于/app/exam/app.php的函数favor中 具体在 default: $page = $this-ev-get'page'; $type = $this-ev-get'type'; $search = $this-ev-get'search'; $tmp = $this-section-getKnowsListByArgsarray"knowssectionid = '$search'sectionid''","knowsstatus = 1";...

phpems设置缺陷直接添加管理员导致getshell

简要描述： phpems 默认uckey是1234567890 导致可以用uc的加密函数加密恶意代码带到sql语句中。 详细说明： if!defined'INUC' errorreporting0; setmagicquotesruntime0; defined'MAGICQUOTESGPC' || define'MAGICQUOTESGPC', getmagicquotesgpc; requireonce 'config.inc.php'; $DCACHE = $get = $post = array; $code = @$GET'code'; //code=加密代码...

phpems在线模拟考试系统 getshell

简要描述： phpems 最新版本20141103 http://phpems.net/forum/thread-441-1-1.html 上传过滤不严导致任意文件上传。 详细说明： phpems\app\document\api.php public function swfupload $path = 'files/attach/images/content/'.date'Ymd'.'/'; $fileurl = $this-files-uploadFile$this-ev-getFile'Filedata',$path; if$this-ev-get'imgwidth' ||...

phpems在线考试模拟系统sql注入

简要描述： 擦 详细说明： 没学过面向对象，看不懂代码，完全黑盒出来的 漏洞证明： demo测试...

PHPEMS注入一处(Demo测试成功)

简要描述： 过滤不严导致的注入 详细说明： 看文件 /app/exam/app.php 272-286行 public function lesson $action = $this-ev-url3; $page = $this-ev-get'page'; switch$action case 'ajax': switch$this-ev-url4 case 'questions': $number = $this-ev-get'number'; if!$number$number = 1; $questid = $this-ev-getCookie'questype'; $knowsi...

PHPEMS (在线考试系统) 设计缺陷 Getshell一枚(官网已shell)

简要描述： 号称是最好用的开源php考试系统? 果断来看看。 已拿下官网。 详细说明： PHPEMS整合了uc。 在api/config.inc.php中 define'UCCONNECT', 'mysql'; define'UCDBHOST', 'localhost'; define'UCDBUSER', 'root'; define'UCDBPW', 'root'; define'UCDBNAME', 'ucenter16'; define'UCDBCHARSET', 'utf8'; define'UCDBTABLEPRE', 'ucenter16.uc';...

PHPEMS (在线考试系统) 注入 第一枚。

简要描述： 过滤不严。 详细说明： public function getClientIp if!isset$this-e'ip' if getenv"HTTPCLIENTIP" && strcasecmpgetenv"HTTPCLIENTIP", "unknown" $ip = getenv"HTTPCLIENTIP"; else if getenv"HTTPXFORWARDEDFOR" && strcasecmpgetenv"HTTPXFORWARDEDFOR", "unknown" $ip = getenv"HTTPXFORWARDEDFOR"; else if...