Srun3000 billing system /config/temp_srun. conf information disclosure

No description provided by source...

Srun3000计费系统/index.php 参数file文件下载漏洞

No description provided by source...

深澜软件命令执行漏洞过滤绕过

简要描述： Srun3000计费系统命令执行绕过，是绕过，跟之前他们的命令执行不重复啊，真的不重复啊 详细说明： 之前 WooYun: Srun3000计费系统漏洞集合 这个里边好多命令执行，后来官方修复了，下边是过滤代码 function filter$str $str=trim$str; //$str=strreplace" ", " ", $str; $str=strreplace"'", "‘", $str; $str=strreplace"%", "", $str; $str=strreplace"&", "", $str; $str=strreplace"|", "",...

Srun3000计费系统漏洞集合

简要描述： 问题很严重，综合各个漏洞，可以随意getshell，漏洞大致有默认配置不当、命令执行、越权操作、未授权访问、SQL注入、任意文件删除、任意文件下载、任意允许类型文件上传 详细说明： 注：部分漏洞内容重复 说明： 查看之前厂商的回复得知，最新版应该为Srun3000 3.00rc14.17.15，而且新版本代码全部加密（其实代码加密不能从根本上解决安全问题，有时会变得更不安全），同时提供框架校验，命令执行不采用shell模式等等，修复了很多问题。 由于暂时未能看到最新版，所以测试的版本为Srun3000...

srun3000计费系统 注入漏洞

简要描述： RT 详细说明： 挖得人还是挺多的啊。 SQL：SELECT count FROM user WHERE userloginname='1'' AND userrealname='Smith' error：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Smith'' at line 1...

Srun3000计费系统任意文件删除漏洞

简要描述： Srun3000计费系统任意文件删除漏洞无需登录 详细说明： /srun3/srun/services/modules/login/controller/logincontroller.php 代码 / 删除一个文件 / // 此处存在任意文件删除漏洞--fuck public function deletefile global $file; echo $this-model-deletefile$file?101:100; deletefile文件路径为 /srun3/srun/services/modules/modules.php / 删除服务器上一个文件 @para...

Srun3000命令执行第3弹

简要描述： 第3弹 详细说明： 这个文件就是为命令之行而生的... /srun3/srun/web/raddmdrop.php 在8080端口 if $POST'sid' $fp = popen "/srun3/bin/raddrop -dm ".$POST'sid', "r" ; //post命令执行 if $fp $con = fread $fp, 128 ; pclose $fp ; 依然root 可getshell，脱裤。 漏洞证明：...

Srun3000命令执行第4弹

简要描述： 第4弹 详细说明： getonlineuser.php 这回有个key需算MD5 不用登陆。 $key = "oeit&^df"; $uname = $GET'uname'; $action = $GET'action'; if $GET'k' != md5 $action.$uname.$key //有个验证 算一下就好。 exit ; switch $action case "show4" : $pfd = popen "/srun3/bin/onlineuser -4 -u ".$uname, "r" ; //这里 if $pfd while $con = fgets...

Srun3000命令执行第5弹

简要描述： 第5弹 详细说明： 这回是post的命令执行而且需要注释掉后面的参数。 if $POST'act' == "auth" $command = "/srun3/radius/bin/radtest ".trim $POST'uname' ." ".trim $POST'pass' ." ".$array'serverip'." 10 ".$array'secret'; //后面注释掉就好 if $fp = popen $command, "r" //这里 $con = fread $fp, 10240 ; pclose $fp ; 漏洞证明：...

Srun3000命令执行第2弹

简要描述： 第二弹 详细说明： \srun3\web\jp.php $f = intval $GET'f' ; ...... $userip = $GET'ip'; if $userip == "" if $fd = popen "/srun3/bin/onlineuser -4 -f ".$f, "r" //这里不行 $content = fread $fd, 1024 ; fclose $fd ; $array = explode "\t", $content ; $userloginname = $array2; $userip = $array3; else if $fd =...

Srun3000计费系统无限制多处任意命令执行getshell

简要描述： Srun3000计费系统无限制任意命令执行getshell 详细说明： 文件： /enus/radonline.php srun3/web/online.php 4-76行 srun3/web/radonline.php 4-76行 if$POST"action"=="dm" $cmd = "/srun3/bin/raddrop -sdm ".$POST"sid"; if$fp=popen$cmd, "r" $con = fread$fp, 128; pclose$fp; $con = strreplace "\n", " ", $con; echo $con; exit;...

Srun3000 /download.php 任意文件下载漏洞

深澜Srun3000 一处未经验证的任意下载漏洞下载路径可以用绝对路径，也可以用相对路径 影响版本 : 版本号小于等于 srun3000 3.00rc14.17.5 的更高的版本还未测试测过url:8081/download.php 116行，未经验证允许文件下载造成任意文件下载漏洞。用户只需提交目标文件名和 加盐过的 MD5 值就可以进行下载。 ?php$key="ijfri&8%4";$file=$GET"file";if$GET'k' != md5$file.$keyexit;iffileexists$file $thisbasefile =...

Srun3000计费系统 命令执行2

简要描述： Srun3000计费系统 命令执行2 详细说明： /srun3/srun/web/admin/fluxstat/room.php ?php header"Content-type:text/html;charset=gb2312"; require"iptauthdconn.php"; require"../functions/functions.php"; $debug=1; switch$POST"action"// case "checkout": $userloginname=$POST"userloginname";...

Srun3000计费系统 命令执行1

简要描述： Srun3000计费系统 命令执行1 详细说明： /srun3/web/userinfo.php /tmp/x 这个应该是是在管理员的模块上 不需要登录的 端口好像是8080本地为了测试方便就直接把这个文件提取出来测试的 因为安装不便 注：经测试uid6也可以命令执行 userinfoen.php userinfo1.php 存在同样问题...

Srun3000计费系统 sql注射漏洞&GETSHELL 1

简要描述： Srun3000计费系统 sql&GETSHELL 1 详细说明： /srun3/srun/web/douser.php case "checkip": $user-userip=$POST"userip";//注入变量 $user-userloginname=$POST"userloginname"; if$user-checkUserIp//直接注入 echo "ok"; exit; break; function checkUserIp $sql = "SELECT COUNT FROM user WHERE userip='".$this-userip."' OR...

Srun3000计费系统 注入漏洞2

简要描述： Srun3000计费系统 注入漏洞2 详细说明： /srun3/srun/web/douser.php case "checkip": $user-userip=$POST"userip";//注入变量 $user-userloginname=$POST"userloginname"; if$user-checkUserIp//直接注入 echo "ok"; exit; break; function checkUserIp $sql = "SELECT COUNT FROM user WHERE userip='".$this-userip."' OR...