115 matches found
Phpyun设计缺陷致任意文件删除可致重装getshell或注入
简要描述: 设计缺陷可致任意文件删除 删除lock可直接进行重装直接达到getshell。 或者删除某文件也可以来注入了。 也可导致破坏sql语句。 P.S.又是1点多了,明天又无法认真上课了。 2014年7月23日 01:30:01 新的一天快乐。 详细说明: 依旧官网下的最新版。 在model/ajax.class.php中 function deluploadaction if!$this-uid && !$this-username && $COOKIE"usertype"!=2 echo 0;die; else $dir=$POSTstr0; $isuser =...
Phpyun注入漏洞二
简要描述: 刚在官网下的。 前台注入。 可以直接出管理员的帐号和密码。 无视360webscan。 详细说明: 本来以为挖不到了 无聊翻翻文件看看。 翻到了上次那个注入的文件。 model/register.class.php function regsaveaction $POST=$this-posttrim$POST; $POST'username'=iconv"utf-8","gbk",$POST'username'; $POST'unitname'=iconv"utf-8","gbk",$POST'unitname'; 省略点 ip = $this-obj-funipget;...
phpyun绕过360艰难的SQL注射
简要描述: 想在PHP云里进行一次SQL注射,真的是好难。 详细说明: 我首先发现了一个SQL注射,这个过程也不轻松。 在phpyun/model/class/action.class.php中 function getadminusershell if$SESSION'auid' && $SESSION'ashell' $row=$this-admingetusershell$SESSION'auid',$SESSION'ashell'; if!$row$this-logout;echo "无权操作!";die; if$GET'm'=="" || $GET'm'=="index" ||...
PHPYUN最新版SQL注入及多处越权操作终结篇
简要描述: PHPYUN最新版(phpyunv3.1.0604gbk)SQL注入及多处越权操作 虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!! 越权方面做的也很不错了,有些是因为SQL注入引起,有些是你们忘了加thins-uid的限制,这里再来一处前台SQL注入及多处越权操作,还有后台大面积的注入(给出文件,厂商自行修复)!!! 详细说明: 第一处SQL注入漏洞及越权操作 文件/model/ajax.class.php: function Refreshjobaction...
PHPYUN最新版多处SQL注入及越权操作
简要描述: PHPYUN最新版(phpyunv3.1.0604gbk)多处SQL注入及越权操作 这里一共存在九处SQL注入及越权操作!!! 详细说明: 这里一共存在九处SQL注入及越权操作!!! 文件/member/model/com.class.php 第一处SQL注入、越权删除职位信息: function job ...... if$GET'del' || isarray$POST'checkboxid' ifisarray$POST'checkboxid' $layertype=1; $delid=@implode",",$POST'checkboxid'; else...
PHPYUN最新版SQL注入(绕过防御)
简要描述: PHPYUN最新版(phpyunv3.1.0604gbk)SQL注入(绕过防御) 详细说明: PHPYUN最新版:phpyunv3.1.0604gbk 文件/member/model/index.class.php function resumeajaxaction includePLUSPATH."user.cache.php"; $table="resume".$POST'type'; $id=int$POST'id'; $info=$this-obj-DBselectonce$table,"id='".$id."'";...
PHPYUN最新版SQL注入二处(绕过防御)
简要描述: PHPYUN最新版(phpyunv3.1.0604gbk)SQL注入二处,无视GPC(绕过防御) 详细说明: PHPYUN最新版(phpyunv3.1.0604gbk)SQL注入二处 第一处SQL注入: 文件/member/model/com.class.php function job if$GET'puid' $data'puid'=int$GET'puid'; $data'inputtime'=mktime; $data'cuid'=$this-uid; $data'usertype'=$COOKIE'usertype';...
phpyun 2.5 /api/alipay/alipayto.php SQL注入漏洞
No description provided by source...
PHPYUN cloud talent system background CSRF Getshell-a vulnerability warning-the black bar safety net
phpyun background no authentication token, by the CSRF directly getshell First, from the background getshell start. The web site's configuration file,/plus/config.php using double quotes to do the key value, which leads to security issues. We can put php code to write into the double quotes insid...
phpyun系统存储型跨站
简要描述: phpyun系统对用户输入没有进行有效过滤,导致XSS漏洞存在。漏洞触发时,可拿到系统管理员COOKIE信息,修改后台设置,增加管理员等。 详细说明: php云系统在身份认证模块,在对上传文件格式进行过滤时,只在客户端进行了过滤,我们可以绕过此方式,上传FLASH文件。进而引发存储型的FLASH跨站。当系统管理员对用户身份信息进行审核时,就会触发漏洞,我们可以通过此漏洞拿到管理员的COOKIE,或者通过脚本在后台新增管理员,进而登陆后台。 漏洞证明: 1、普通用户登录,上传准备好的swf文件,点击浏览准备上传文件。...
PHPYUN云人才系统持久型XSS
简要描述: 可盲打管理员,演示站已验证 详细说明: phpyun云人才系统,默认自带一个kindeditor编辑器,而编辑器自带的演示文件并没有删除。通过演示文件,我们可以上传.html后缀的文件,其中包含任意javascript代码,让管理员访问可盲打管理员cookie。 位置在 data/kindeditor/php/uploadjson.php中: 不过有几点要说明的。 01.如果kindeditor目录下不存在attached目录的话,没法真正上传成功。但只要管理员在后台发表过文章(基本上只要这个站是活的),就会有这个目录。...
PHPYUN云人才系统后台CSRF Getshell
简要描述: phpyun后台没有验证token,可以通过CSRF直接getshell 详细说明: 首先从后台getshell开始。 网站的配置文件,/plus/config.php,用的是双引号做键值,这导致了安全问题。我们可以把php代码写进双引号里面执行。 修改配置文件,提交: 然后访问/plus/config.php: 特别的是,因为phpyun后台没有防御CSRF的办法,所以我们可以构造一个表单,诱使管理员访问,修改配置文件,导致getshell。 详见漏洞证明。 漏洞证明:...
PHPYUN云人才系统多处存储型XSS打包
简要描述: 梦见一个getshell,但因为该死的过滤没绕过。。发xss吧。。。 多处打包,还不走大厂商吗? 详细说明: phpyun云人才系统处理富文本时,只在客户端进行过滤,服务端没有进行过滤,导致多个富文本编辑框产生XSS。 说一下各个位置。 01.企业用户资料处:member/index.php?C=info 02.企业用户发布招聘信息处:member/index.php?C=jobadd 03.问答系统提问处:ask/index.php?C=addquestion 04.朋友圈发表状态:friend/index.php...
PHPYUN设计缺陷可批量重置全部用户密码
简要描述: 不过重置成了什么我也不知道。 但如果有一天,一个网站所有用户密码全部被重置成随机字符了,所有遗失邮箱的用户就完全丢失自己的账号了。就算没有遗失邮箱,但莫名其妙地被重置密码了,谁会开心? 详细说明: 0x01. 访问链接friend/index.php?C=profile&id=1可以查看uid=1的用户的信息,其中就有用户名。 因为uid是数字,所以存在遍历的可能,我可以写一个脚本,把数据库中所有用户用户名遍历出来。 0x02...
phpyun某功能对参数处理不严可导致sql注入
简要描述: 学习中......少装不努力,老大搞IT!!! 详细说明: phpyun 个人会员中心 member/model/index.class.php $COOKIE"usertype";参数存在注入, 从下面代码中可以看到$data"usertype" 直接读取COOKIE的值,带入到sql中, sql未对值进行过滤处理 function msgaction if$GET"del" $nid=$this-obj-DBdeleteall"useridmsg","id='".$GET"del"."' and uid='".$this-uid."'";...
phpyun SQL injection-vulnerability warning-the black bar safety net
In/model/qqconnect. class. php file: function certaction $id=$GET'id'; $arr=@explode"|",base64decode$id; if$id && isarray$arr && $arr0 && $arr2==$this-config'coding' $row=$this-obj-DBselectonce"companycert","uid='".$ arr0."' and check2='".$ arr1."'"; ifisarray$row if$rowstatus!= 1 $value.="...
PHPYUN设计缺陷导致轻易Getshell
简要描述: PHPYUN设计缺陷导致轻易Getshell 详细说明: 1 设计缺陷 phpyun集成了部分ucenter功能,引入了UCKEY,且默认设置为"phpyun123456" define"UCKEY","phpyun123456"; 你们难道不知道UCKEY这个值的威力的多大?好吧 我就当你们不知道,详情请见 WooYun: Discuz的利用UCKEY进行getshell http://www.2cto.com/Article/201401/272274.html 2 利用UCKEY实现Getshell http://x';eval$POSTDOM;// '; $cmd2=...
PHPYUN设计缺陷可认证任意手机
简要描述: PHPYUN设计缺陷可认证任意手机 详细说明: 上代码 model/ajax.class.php 行609 $moblie=$POSTstr0; $randstr=rand100000,999999; setcookie"mobliecode",$randstr,time+120, "/"; 神马情况 码直接放到cookie里面。。 这个程序员才不省心哦!明显就是掩耳盗铃的节奏啊!! 漏洞证明: 同上...
PHPYUN设计缺陷验证码形同虚设
简要描述: PHPYUN设计缺陷验证码形同虚设 详细说明: 所有地方的验证码 验证后都未进行过期操作。导致验证码形同虚设 以找回密码为例 model/forgetpw.class.php function sendpwaction ifmd5$POST"authcode"!=$SESSION'authcode' $this-obj-ACTmsg"index.php?M=forgetpw","验证码错误","2"; $pass...
PHPYUN逻辑错误无限刷积分
简要描述: PHPYUN逻辑错误无限积分所以标题党了一下! 详细说明: 逻辑错误 未对用户输入严格过滤! 问题发生在 member/model/com.class.php 1158行 $integral=$this-config"integralcomcomments"$POST'time'; ..... if$statis"integral"obj-ACTmsg"index.php?C=pay","你的".$this-config"integralpricename"."不足,请先充值";...