AirLive 系列 IP 摄像头命令注入漏洞

大量AirLive IP监控摄像机被曝存在命令注入漏洞，攻击者可利用该漏洞窃取用户登录凭证并控制设备。漏洞原理及影响范围OvisLink公司制造的大量AirLive IP监控摄像机中都存在着命令注入漏洞，通过该漏洞，网络攻击者可以解码用户登录凭证，并可以完全控制监控设备。根据Core安全公司的专家们的消息，至少5种不同型号的AirLive监控摄像机都受此漏洞的影响。这5种型号的监控摄像机分别如下：1、AirLive BU-2015，固件版本1.03.18 16.06.20142、AirLive BU-3026，固件版本1.43 21.08.20143、AirLive...

Adobe Flash ActionScript ByteArray Buffer UAF 代码执行

Vulcan 在第一时间进行了分析, 下面都是基于该报告1进行说明:漏洞的形成原因是 Clasz 类型给 ByteArray 类型赋值时调用 valueOf 函数过程中 buffer 使用不当，从而造成 Use After Free 漏洞。forvar i:int; i alen; i+=3 ai = new Class2i; ai+1 = new ByteArray; // 这里产生 ByteArray 类型数据 ai+1.length = 0xfa0; // 这里将 ByteArray 类型数据的初始长度设置为 0xfa0 // 进入 Adobe Flash Player 之后...

Mao10cms最新版前台注入(有条件限制)

简要描述： Mao10cms最新版前台注入 详细说明： Mao10cms用户量不小，2015-06-25更新的V3.5.2，今天来学习一下吧 这个注入问题出现在模板文件中，有多个地方引用这个模板，这里说3个漏洞，是这个问题文件中存在多个注入点引用这个出问题的文件。 问题文件在/theme/default/article/single.php,看代码 ;" " 无关代码 看到文件...

用友优普U8系统三处SQL注射漏洞

简要描述： 用友某系统两处SQL注射漏洞 详细说明： 前面有人提交这系统的漏洞 WooYun: 用友优普U8某系统两处SQL注入无需登录DBA权限83案例 搜索了好久终于找到了案例，于是乎漏洞来了。。。 总共三处漏洞， 0x01 SQL注入一 /Server/CmxUserGroup.php?pgid=GroupDelUserOK UserID=1&OrgID=1 POST /Server/CmxUserGroup.php?pgid=GroupDelUserOK HTTP/1.1 Referer: http://218.27.137.242:8080/ Cookie:...

Mao10cms最新版前台注入2枚打包

简要描述： Mao10cms最新版前台注入2枚打包，可出任意数据 详细说明： Mao10cms用户量不小，2015-06-25更新的V3.5.2，今天来学习一下吧 两个注入点，分别存在在于application/common/common/function.php/mctitle方法和application/common/common/function.php/mcseo中。注入产生的原因都是id没有过滤，这两个注入点前台可直接注入出数据。这里以application/common/common/function.php/mctitle为例进行说明。...

用友多个系统通用漏洞设计缺陷(自带已保存的口令)

简要描述： 详细说明： 默认密码 其实是根本不用输入密码，账号密码自动保存，点确认就登入了、 导致 源码泄露 可调试 源码 这套 系统很多套用友系统都带着，具体请看 WooYun: 用友多个系统通用漏洞导致接口信息泄露引发多数据库信息泄露（涉及多个大型厂商） 然后从这个得来的灵感 http://gpms.foton.com.cn/uapws/ http://erp.suning.com.cn/uapws/ http://fm2.cscec.com/uapws/ http://bap.ufida.com/uapws/ http://61.178.99.236:9002/uapws/...

ThinkSNS 4.0 一处设计缺陷（可伪造任意人发朋友圈）

简要描述： 通常用于诈骗！ 详细说明： 官方的demo已经是4.0，可惜下不到源码 翻来看看ThinkSNS 3.0的源码，发现一处严重的设计缺陷 apps\public\Lib\Action\AccountAction.class.php 下doSaveProfile方法为保存用户信息操作 / 保存基本信息操作 @return json 返回操作后的JSON信息数据 / public function doSaveProfile $res = true; // 保存用户表信息 if!empty$POST'sex' $save'sex' = 1 == intval$POST'sex' ?...

Discuz CSRF发帖POC可蠕虫

简要描述： TSRC西安沙龙议题案例之Discuz（影响大量站点，即使修改某文件做过部分防御仍可绕过）。 详细说明： 0x01 窃取Token 默认安装的Discuz，crossdomain.xml中的allow-access-from为，所以任意域下的flash均可窃取discuz的Token（formhash），造成csrf。 经过统计，常见的八个安全社区： 其中红色的四个在我统计的时候仍然存在该问题。 从安全社区的现状即可预估所有Discuz社区的现状，存在漏洞的概率至少在50%以上，而且肯定远比这个值高（毕竟统计的是安全社区，站长和管理员都是相对懂的，就高达50%）。...

方维名品折扣系统越权清除用户收货地址 (Demo)

简要描述： RT 详细说明： demo地址：http://mp.fanwe.net 老规矩注册两账号 账号A收货地址 账号B 收货地址 点击账号B的提交，抓包修改地址id为账号A的地址id 查看账号A地址，发现被清除 漏洞证明： 如上...

Coremail邮箱移动web端XSS

简要描述： 都大学生了，还用不起智能手机没有个人电脑，有比我更屌丝的么？ 详细说明： 前言:问题出现在附件预览上面，测试于IOS移动端 1 新建一个html格式文件，内容为 alert1 作为附件发送 2 点击下载触发移动端上 3 把此链接copy下发送QQ消息，发现换个移动端浏览器也可以直接触发 漏洞证明：...

逐浪CMS2.4分分钟GetShell影响尚未发布的2.5Beta版

简要描述： Zoomla!逐浪CMS软件由上海逐一软件科技有限公司、江西逐浪软件科技有限公司联袂打造，其旗下华夏互联hx008.com开发团队，是华中排名第一的IDC服务商，拥有近十年的网站开发服务经验，一直以来致力于高端的WEB开发，也是国内领先的TOP外包合作商。 作为国产CMS的领先企业和国内首家推出的基于微软公司.NET平台的高端网站内核内容管理系统，Zoomla!逐浪CMS具备八大模块、近百项功能，深得业界好评。 在.NET平台开发的CMS行业，Zoomla!逐浪CMS与四川风讯CMS、北京百榕科技、佛山动易软件等公司，引领国产CMS行业的潮流，已成为业界事实标准。...

亿邮PC客户端持久XSS

简要描述： 屌丝可怜啊，上不起大学，一年学费上万，伤心啊⊙.⊙ 详细说明： https://mail.eyou.net/ 1 测试中我用QQ邮箱给亿邮PC客户端发信时,使用firefox插件Tamper Data抓包改我qq邮箱的昵称为 22 2 正文邮件昵称被过滤，但是回复或者打印时候就会触发。 而这，是由客户端引起的 3 回复时 打印时 https://images.seebug.org/upload/201507/0214...

Turbomail邮件系统一处存储型xss

简要描述： Turbomail邮件系统存在几处xss存储型漏洞。 详细说明： Turbomail邮件系统存在几处xss漏洞，可以利用此漏洞获取客户邮箱cookie。 漏洞一：简单绕过附件名称过滤，实现xss，打开信件就触发。 测试代码： 构造图片附件，命名he"onerror=alertdocument.domain.jpg发送信件，打开中，为了证明普遍性，特在几个不同版本邮箱中测试截图如下： 某个版本需要转发信件时才能触发： 漏洞二：某些版本在发件人昵称处存在xss漏洞，打开信鼠标经过发件人区域时触发，此时发件人区域颜色变黄：...

某高校大型仪器设备开放共享管理平台通用SQL注入之四

简要描述： 详细说明： 某高校大型仪器设备开放共享管理平台通用SQL注入之四。 案例： http://.../syjx/share/SHowFiles/MoreEqu.aspx http://.../SHowFiles/MoreEqu.aspx http://.../SHowFiles/MoreEqu.aspx http://.../nxdyq/SHowFiles/MoreEqu.aspx .../shiyan/share/SHowFiles/MoreEqu.aspx 漏洞证明： 注入证明： http://.../syjx/share/SHowFiles/MoreEqu.aspx...

用友集团某平台弱口令导致泄漏大量敏感信息(机密信息)

简要描述： 一个低微的弱口令 泄漏出多少机密信息啊 用友软件：提交了多少个漏洞你都忽略了，现在这个漏洞你该不会又忽略吧 此次与贵公司相关的任何信息并未泄漏他人,请及时修复以免被不法人员利用，谢绝查水表 详细说明： http://ufsdp.ufida.com/（用友集团开发管理部YSDP平台） 存在测试员账户 用户test 密码test 导致下面外网能访问的模块都能访问并且存在最新数据 泄漏重要资料在于一个叫：YSDP研发资产借阅系统 从2010-9-19 16:42:14到目前为止一个4769条数据,其中的附件泄漏了有关很多行业的机密文档，用友软件你罪过..罪过啊..... 漏洞证明：...

shopNC B2B版SQL注入一枚

简要描述： 无需登录直接出数据 详细说明： 为了节省审核时间，先来五个实例 http://www.xiu365.cn/microshop/index.php?act=personal&classid0=exp&classid1=1%20or%20updatexml1,concat0x5c,user,1%23 http://www.xiu365.cn/microshop/index.php?act=personal&classid0=exp&classid1=1%20or%20updatexml1,concat0x5c,user,1%23...

Linux glibc 缓冲区溢出 (幽灵(Ghost))

近日国外安全研究人员披露一个在 Linux Glibc 库上发现的严重的安全问题，它可以让攻击者在本地或者远程获取操作系统的控制权限，编号为CVE-2015-0235，命名为幽灵（GHOST）漏洞。什么是GHOST?为什么命名为GHOST？漏洞最早起源于:The first vulnerable version of the GNU C Library is glibc-2.2, released on November 10, 2000.“During a code audit performed internally at Qualys, we discovered a buffer...

php云人才系统越权替换简历

简要描述： RT 详细说明： 版本：PHPYUN人才招聘系统4.0beta 说明：简历创建的方式有两种，直接创建跟在线黏贴，问题出在，修改在线黏贴的简历 文件位置：\upload\member\user\model\expectq.class.php function saveaction if$POST'submit' $eid=int$POST'eid'; $data'doc'=strreplace"&","&",htmlentitydecode$POST'doc',ENTQUOTES,"GB2312"; $POST'lastupdate'=mktime;...

FineCMS一处SQL注入

简要描述： 某处过滤不严格导致sql注入 详细说明： 在用户修改个人头像的地方： http://localhost:8081/index.php?s=member&c=info&a=avatar 没有对提交的参数进行过滤： $data = $this-input-post'data', TRUE; 直接带入了sql查询： $this-member-updatearray'avatar'= $data'avatar', 'id=' . $this-memberinfo'id'; 于是造成注入，本人使用如下注入代码： 'or updatexml1,concat0x7e,version,0...

ASUSWRT 3.0.0.4.376_1071 - LAN Backdoor Command Execution

漏洞概要2014年10月3日，国外安全研究员Joshua J. Drake在他github（https://github.com/jduck）提交了针对华硕路由器的一个远程命令执行漏洞poc（https://github.com/jduck/asus-cmd）。该漏洞随后被编号为CVE-2014-9583。知道创宇安全研究团队在第一时间对该命令执行漏洞进行了研究和分析。a 漏洞描述华硕路由器R系列路由器使用开源路由器系统 Asuswrt，开源代码给我们随后的漏洞分析带来很多方便，不用逆向分析。在Asuswrt中存在 infosvr 进程，该进程监听在0.0.0.0...

ZTE SOHO ROUTER WEB_SHELL_CMD.GCH 远程命令执行

1、漏洞概要2014 年 3 月 3 日，Rapid7 团队发布了中兴 F460 / F660 后门信息1，任何可以访问设备的用户都可以直接访问一个命令执行的 Web 界面，以 root 权限执行任意命令。上述设备在中国境内被广泛应用，俗称“电信光猫”。2.1漏洞描述ZTE 生产的 SOHO Router 的一些型号中，Web 根目录（/home/httpd ）下存在 /webshellcmd.gch 文件，没有任何访问控制，可以直接执行任意系统命令。以下几点值得注意：Rapid7 于 2014 年 3 月 3 日公布此漏洞，但是根据搜索结果，此问题早在 2012...

fineCMS免费版某处又一sql注入

简要描述： 这次让我先呵呵！！！ 详细说明： 会员中心，文章-先发表一篇文章，然后去修改，看看修改的代码 controllers/member/ContentController.php public function editAction 。。。。 if $this-post'submit' $data = $data; unset$data; $data = $this-post'data'; /printr$data; exit;/ if empty$data'title' $this-memberMsglang'm-con-13'; if $data'catid' != $cat...

fineCMS免费版注入再来一弹

简要描述： 抢先呵呵!!! 详细说明： 问题文件： /controllers/member/InfoController.php public function favoriteAction $favorite = $this-model'favorite'; if $this-isPostForm $ids = ''; foreach $this-post'ids' as $i $ids.= ','.int$i; $ids = trim$ids, ','; if empty$ids $this-memberMsglang'm-inf-11'; $ids = @implode',',...

CmsEasy_5.5_UTF-8_20150620任意用户密码修改(最新webscan失效方法)

简要描述： cmseasy 任意用户密码修改，6.20号最新的补丁，个人觉得，cmseasy的工作人员，分析问题思路有问题，而且都是掩耳盗铃的修补方法，最后一次发cmseasy漏洞了，已经无法解救了，直接开除吧，其实这个之前在360发过，但是看到最新补丁描述，说是已经修复，但是从修复的效果看，等于没有修复 详细说明： 文件名：CmsEasy5.5UTF-820150620 先贴上官网给出的修复描述: formact.php: function searchaction iffront::get'keyword' &&!front::post'keyword'...

Coremail邮箱APP持久XSS

简要描述： 屌丝怎么活，上大学了，没手机没电脑，伤心啊⊙.⊙ 详细说明： 顺手搞搞APP，发现APP大概没被关注到，所以问题还很低级。 1 为了方便收发邮件下载了Coremail的APP（测试于ios版本） 2 测试发现APP上近乎不设防，除了直接源码插入的alert1没触发，像之类的都可以触发 3 虽然没有作用域，但毕竟正文直接触发，还是可以干很多坏坏的事情。 况且作为网易什么乱七八糟双重资质认证，安全性较高的邮箱，这样是不是不好，我怎么敢放心用这个APP呢 漏洞证明：...

烽火（Fiberhome）HG-110 设备目录穿越漏洞

知道创宇安全研究团队 2015 . 03 . 31一.漏洞概要近期，国外安全研究员发布了针对全球 ADSL 设备存在目录穿越漏洞的研究网页链接1，这个漏洞早在 2011 年就被提出了，影响烽火（Fiberhome）HG-110 型号设备网页链接2，本着学习的态度，笔者对该漏洞进行了一番考证，写在这里。a）漏洞描述烽火（Fiberhome）HG-110 型号设备目录穿越漏洞网页链接3，是由于 webproc 文件在处理参数 getpage 传递过来的文件访问时没有合适过滤，导致用户可以利用 ../../ 跳转访问 web 目录之外的系统文件。b）漏洞分析烽火（Fiberhome）HG-11...

IIS 系列 Http.sys 处理 Range 整数溢出漏洞

一、漏洞概要 2015年04月14日，微软发布严重级别的安全公告 MS15-034，编号为 CVE-2015-1635，据称在 Http.sys 中的漏洞可能允许远程执行代码。 漏洞描述Http.sys 是一个位于 Windows 操作系统核心组件，能够让任何应用程序通过它提供的接口，以 Http 协议进行信息通讯。微软在 Windows 2003 Server 里引进了新的 HTTP API 和内核模式驱动 Http.sys，目的是使基于 Http 服务的程序更有效率。其实在 Windows XP 安装 SP2 后，Http.sys...

PHP云人才系统最新版1处SQL注入(union select)

简要描述： PHP云人才系统最新版1处SQL注入union select，无需登陆，可取任意数据。 官网demo测试。 详细说明： 最新版全局过滤函数修改：config/db.safety.php 27 function gpc2sql$str,$str2 28 29 ifpregmatch"/select|insert|update|delete|union|loadfile|outfile/is", $str 30 31 exitsafepape; 32 33 34...

青果教务系统无条件SQL注射

简要描述： 青果教务系统的SQL注入漏洞，无需任何条件！真正的教务杀手，获取教师、管理用户密码，查看妹子信息不是梦!你想改成绩吗？答：你想多了，不作死就不会死。 详细说明： 青果教务系统有一个WebService接口，默认路径：/webs/sysdata.asmx。 通过对这个服务页面数个接口的审计，发现其中某接口存在SQL注入。 /webs/sysdata.asmx提供的几个接口如下： 一、获得schoolcode 首先我对GetMenuInfo这个接口比较感兴趣。原因很简单，在几个接口中，它要求的参数是最少的，这就方便了后面的分析。...

xdcms订餐网站系统存在设计缺陷，用户花0元刷无限积分

简要描述： demo.xdcms.cn 用户下单之后就会获得积分，然后马上，积分就会消失。 但是，在下单与取消这个期间，积分是可以使用的！并且，积分进行使用后再取消订单，积分就不会消失！ 无限刷积分、、、 详细说明： demo.xdcms.cn 1、先注册一个账号,初始积分是10 2、下单并提交订单 3、查看现有积分，已经变成了510 4、积分商城去买几个飞机杯 5、现在看，积分已经变成了310 img src="https://images.seebug.org/upload/201...

Samba 3.0.37 EnumPrinters 堆内存溢出漏洞

分析来自 知道创宇安全研究团队 niubl：2015.5.20一、Samba 介绍Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个免费软件，由服务器及客户端程序构成。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置 “NetBIOS over TCP/IP” 使得 Samba...

Coremail邮箱正文持久型XSS

简要描述： 为了测试，购买域名和邮箱花了二十块。 详细说明： 在母鸡的指导下把邮箱解析好了，就用自己的邮箱给coremail发了封邮件测试下。 接着发现firefox下来信邮箱的昵称img src=1被嵌入入了网页中 使用firefox插件Tamper Data抓包改我qq邮箱的昵称,不要continue 接着改sendname参数，写入 然后就触发了 漏洞证明： win7下 osx下 img src="https://images.seebug.org/upload/201506/2918161341e69ed475cebd562eaaf59b0b3a8371.png"...

某政务系统一处通用SQL注入漏洞

简要描述： 详细说明： 某政务系统一处通用SQL注入漏洞。 案例： http://.../workplate/base/user/multisel.aspx http://...:8001/workplate//base/user/multisel.aspx ...:81/workplate//base/user/multisel.aspx ...:82/workplate//base/user/multisel.aspx ...:88/workplate//base/user/multisel.aspx...

某高校大型仪器设备开放共享管理平台通用SQL注入之三

简要描述： 详细说明： 某高校大型仪器设备开放共享管理平台通用SQL注入之三。 案例： http://.../SHowFiles/EquBookList.aspx http://.../syjx/share/SHowFiles/EquBookList.aspx http://.../SHowFiles/EquBookList.aspx http://.../nxdyq/SHowFiles/EquBookList.aspx .../shiyan/share/SHowFiles/EquBookList.aspx 漏洞证明： 注入证明：...

某政府网上审批系统通用SQL注入7处打包

简要描述： 详细说明： 某政府网上审批系统通用SQL注入7处打包。 7处注入案例： http://.../workplate/base/org/WebUserList.aspx?id=99 http://.../workplate/base/org/WebUserList.aspx?id=99 http://.../workplate/base/org/WebUserList.aspx?id=99 http://.../workplate/base/org/WebUserList.aspx?id=99...

某高校大型仪器设备开放共享管理平台通用SQL注入之二

简要描述： 详细说明： 某高校大型仪器设备开放共享管理平台通用SQL注入之二。 案例： http://.../ShowFiles/EquWxList.aspx http://.../syjx/share/ShowFiles/EquWxList.aspx http://.../nxdyq/ShowFiles/EquWxList.aspx http://.../ShowFiles/EquWxList.aspx .../shiyan/share/ShowFiles/EquWxList.aspx 漏洞证明： 注入证明： http://.../ShowFiles/EquWxList.aspx...

phpyun注入漏洞#2

简要描述： phpyun注入漏洞2 详细说明： 文件名： \app\controller\friend\index.class.php中 有这样一句 $nid=$M-SaveFriendInfo$POST,array"uid"=$this-uid; 传入了整个post,我们跟进SaveFriendInfo看看. 文件名： \app\model\friend.model.php function SaveFriendInfo$Values=array,$Where=array ifempty$Where $ValuesStr=$this-FormatValues$Values; retur...

CmsEasy getshell(略鸡肋)

简要描述： rt 详细说明： 利用条件：文章必须通过后台审核（必须列表审核），有点鸡肋了。 CmsEasy\lib\default\archiveact.php： 411行 showaction函数 里有句 if front::get't' == 'wap' $tpl = category::gettemplate$this-view-catid, 'showtemplatewap'; if!$tpl $tpl = 'wap/show.html'; $this-out$tpl; return; if $template && fileexistsTEMPLATE . '/'...

某邮件域管理系统通用注入（过万企业邮箱沦陷）

简要描述： 日了Feng狗···跑的好慢 详细说明： intitle:Login to webmail http://hanwang.com.cn/login.php 这个貌似是不存在注入的，但是对应的邮箱域管理的后台登陆有post注入 http://mail.tofine.com:8090/login.php 以及 http://mail.tofine.com:8090/sys/login.php http://mail.kddl.cn:8090/sys/login.php http://mail.cqdc.com:8090/sys/login.php...

某高校大型仪器设备开放共享管理平台通用SQL注入

简要描述： 详细说明： 某高校大型仪器设备开放共享管理平台通用SQL注入。 案例： http://ies.hhit.edu.cn/ShowFiles/YQuseList.aspx http://sjjx.jssvc.edu.cn/syjx/share/ShowFiles/YQuseList.aspx http://dqhjsy.nuist.edu.cn/nxdyq/ShowFiles/YQuseList.aspx http://eq.njfu.edu.cn/ShowFiles/YQuseList.aspx...

方维O2O商业系统SQL注入漏洞+XXE实体注入（demo验证）

简要描述： RT 详细说明： 方维O2O，demo站点地址：http://o2odemo.fanwe.net/ /cpapi/qxtapi.php define"FILEPATH","/cpapi"; requireonce '../system/systeminit.php'; $ip = CLIENTIP; $xml = filegetcontents'php://input'; if$ip!='221.179.180.156' || $xml=="" header"Content-Type:text/html; charset=utf-8"; echo "·Ç·¨·ÃÎÊ";...

FineCMS免费版无限制GETshell

简要描述： 66666666666666FineCMS免费版无限制GETshell 详细说明： http://www.jwss.cc/?q=Powered%20by%20FineCMS%E5%85%8D%E8%B4%B9%E7%89%88&pn=100 案例：http://www.luyoutu.com/ http://www.qianjin998.com/ http://dery.cn/ http://www.xiaomixifan.cn/ http://www.yyxly.com/ http://mylhealth.com/ /plugins/mbak/ebak/index.php...

嘉缘人才系统sql注入

简要描述： 无需登录，直接出数据 详细说明： 看到search\mapsearch.php if$act=='showmap' if$point $points=explode',',$point; vardump$points; ifcount$pointscounter"$cfg'tbpre'member a INNER JOIN $cfg'tbpre'membermap b ON a.mid=b.mmid","a.mflag=1 AND $points0query$sql;$i=0;$showinfolist=$showinfotip='';...

OpenSSL Heartbleed 漏洞 (心脏出血)

OpenSSL“心脏出血”漏洞是一个非常严重的问题。这个漏洞使攻击者能够从内存中读取多达64 KB的数据。一些安全研究员表示：无需任何特权信息或身份验证，我们就可以从我们自己的（测试机上）偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档和通信等数据。这一切是如何发生的呢？让我们一起从代码中一探究竟吧。0x01 Bug请看ssl/dlboth.c，漏洞的补丁从这行语句开始：int dtls1processheartbeatSSL s unsigned char p = &s-s3-rrec.data0, pl; unsigned short hbtype;...

ThinkPHP设计缺陷导致逻辑漏洞造成密码找回绕过等问题

简要描述： 在不正确使用 ThinkPHP 时，可能会造成参数处理流程导致的逻辑漏洞。 详细说明： ThinkPHP 处理传入的参数的时候，如果直接带入一个数组，接着数组带入 SQL 语句，会产生之前 phithon 大牛爆的 0day： WooYun: ThinkPHP框架架构上存在SQL注入 利用方式很简单： data0=exp&data1=SQLI 然而，thinkphp 支持的不仅仅是 exp，像 like、in，都会支持。 也就是说，我们可以在很多地方精心构造一个参数，导致造成逻辑漏洞。比如找回密码、权限验证等。 我们传入： data0=like&data1=x%25...

用友PDM Professional全版本通用型配置不当导致getshell

简要描述： rt 详细说明： 涉及： 用友PDM Professional 7.5 用友PDM Professional 6.5SP1 用友PDM Professional 7.2 用友PDM Professional 7.0 用友PDM Professional 6.0 详细看案例。 jboss未授权访问导致getshell None 漏洞证明：...

方正阿帕比数字资源平台系统多处漏洞打包-可拖库-可getshell-可获取系统权限（通用 多案例）

简要描述： 乌云是目前最大的漏洞平台，只要你知道的系统、网站，它们的漏洞都可以从乌云上找到，所以乌云的漏洞库是一笔无形的巨大财富 详细说明： Apabi数字资源平台系统是一个用户量很大的图书馆系统 涉及网站太多为图书馆、学校等教育机构，甚至地方人社局等，而绝大部分服务器都不是单一的运行着这一套系统...真是个好“邻居”... None 漏洞证明： 漏洞证明在上面详细说明里已足够、拿下webshell后在99.9%均可获取到系统权限，进入远程桌面任意操作。这里就不证明了，并无深入！...

某在线培训系统Base64编码后通用SQL盲注漏洞

简要描述： RT 详细说明： 接上一个洞： WooYun: 某在线培训系统通用SQL注入漏洞 厂商：上海天柏信息科技有限公司 http://www.timber2005.com/Productsy.html （客户案例及试用） 天柏在线培训系统（网校版） 漏洞地址： http://px2.timber2005.com/WebPage/kccontent.aspx?tid=NDAyMA==&cid=Mjk= 参数cid存在注入 tid和cid都采用了base64的编码，因此提交的时候需要对参数进行编码 提交： 29 and 1=1 编码后： MjkgYW5kIDE9MQ== 页面正常...

麦达特色库检索平台SQL注入

简要描述： RT 详细说明： 杭州麦达电子有限公司开发的特色库系统，用户包括众多国内知名高校。 http://www.metadata.com.cn/cpjs1.asp?ProID=42 该系统存在注入，以 http://210.33.44.5:8080/docinfo?docid=302&dbid=2&dbname=%E5%AD%A6%E4%BD%8D%E8%AE%BA%E6%96%87%E5%BA%93 为例 docid 参数存在注入 漏洞证明： 部分测试案例：...

某政府在用系统存在通用SQL注入

简要描述： rt 详细说明： 某政府在用系统存在通用SQL注入。 案例： http://218.56.40.229:8037//newsymItemView/Item2.aspx?id=021973 http://123.134.189.60:8022//newsymItemView/Item2.aspx?id=021973 http://222.135.109.70:8200//newsymItemView/Item2.aspx?id=021973 http://218.56.99.84:8003//newsymItemView/Item2.aspx?id=021973...