KingCms最新版（k9）注入2#

简要描述： KingCms最新版（k9）注入2 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/newsfeed/index.php HTTP/1.1 注入参数：where 问题文件在 /apps/newsfeed/index.php function create $u=new user;$u-authrole'news'; $db=n...

doyo建站sql注入

简要描述： rt 详细说明： 看到\source\pay.php function order if$this-syArgs'oid'||$this-syArgs'orderid',1!='' if$this-syArgs'oid'$r=array'id'=$this-syArgs'oid',1;else$r=array'orderid'=$this-syArgs'orderid',1; $order=$this-c-find$r; if$order'state'!=0jump'?c=member&a=myorder&oid='.$order'id';...

某通用型系统SQL注入

简要描述： 某通用型系统SQL注入 详细说明： 某通用型系统SQL注入。 源码：XYCMS休闲度假山庄源码 v2.7 下载地址：http://down.chinaz.com/soft/34081.htm 注入点：articledetail.asp 注入参数：id= 可搜索： 实例： http://www.julong888.com/articledetail.asp?id=51 http://hldysj.com/articledetail.asp?id=101 http://www.kxbyg.com/articledetail.asp?id=97...

KingCms最新版（k9）注入又1枚

简要描述： KingCms最新版（k9）注入又1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/jiaoyou/index.php HTTP/1.1 注入参数：where 问题文件在 /apps/jiaoyou/index.php function create $u=new user;$u-authrole'jiaoyou';...

KingCms最新版（k9）注入漏洞

简要描述： KingCms最新版（k9）注入漏洞 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/forum/board.php HTTP/1.1 注入参数：url 问题文件在/apps/forum/board.php function edit $u=new user;$u-authrole'forumboardedit';...

KingCms最新版（k9）注入1枚

简要描述： KingCms最新版（k9）注入1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/jiaoyi/index.php HTTP/1.1 注入参数：where 问题文件在 /apps/jiaoyi/index.php function create $u=new user;$u-authrole'jiaoyi'; $db=ne...

shop7z某版本一枚SQL注入

简要描述： 这是补充的，，， 详细说明： 这是补充的，，， shop7z某版本一枚SQL注入（demo测试） 版本：Shop7z网上购物系统V3.7 http://down.chinaz.com/soft/35103.htm SQL注入漏洞文件：showone.asp 注入参数：lid= demo测试：http://www.shop7z.com/demo/showone.asp?lid=44 漏洞证明： 可搜索到案例： http://www.hpego.com/showone.asp?lid=41 http://www.kcp88.com/showone.asp?lid=55...

KingCms最新版（k9）注入1枚

简要描述： KingCms最新版（k9）注入1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/jianli/index.php HTTP/1.1 注入参数：where 问题文件在/apps/jianli/index.php function create $u=new user;$u-authrole'jianli'; $db=new...

KingCms最新版（k9）GetShell

简要描述： KingCms最新版（k9）GetShell 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k9，官网下下来学习一下。 在平台看到了几个漏洞，如： 来看看这次shell是如何发生的吧 问题文件在/user/upimage.php 先来看看图片上传的整个过程/user/upimage.php（下面代码中关键步骤我都加了注释） $upext=kcconfig'up.imageype';//注释1：获取允许上传的图片类型...

XDcms订餐网站系统单店版注入(demo测试)

简要描述： rt 详细说明： 黑盒demo测试 首先注册一个用户，然后修改用户资料 http://dd.xdcms.cn/index.php?m=member&f=edit 修改完成之后，下单点餐。 然后报错了。二次注入 由于demo有安全狗，就没用深入测试了。 漏洞证明：...

精讯cms sql注入 和 任意刷钱和积分漏洞

简要描述： 精讯cms sql注入 和 任意刷钱和积分漏洞 详细说明： public function reg if $this - obj - isLogin $go = $this - referer && !strstr$this - referer, 'login'?$this - referer:Url :: getUrl'member'; $this - showMsgL'ALREADYISMEMBER', $go; if $this - isSubmit if $this - obj - reg $this - obj - login$POST'info''username...

互动在线科技有限公司可SQL注入

简要描述： 互动在线科技有限公司参数过滤不严，可SQL注入， 详细说明： http://kaiyuan.hudong.com/sq/siteauthorize.php?siteurl= 使用sqlmap检测，可得到数据库信息，如下图所示 漏洞证明：...

嘉缘人才系统两处sql注入打包#2（直接出数据）

简要描述： rt 详细说明： 看到\frcms\plus\onlinepay\send.php requireoncedirnameFILE.'/../../config.inc.php'; $db=connectdb; $paytype=intval$paytype; $amount = trim$amount; if!isnumeric$amountshowmsg'支付金额不合法，必须为数字。',"-1";exit; if!strpos$amount,'.' $amount=$amount.".00"; $rs = $db-getone"select...

phpb2b最新版sql注入

简要描述： RT 详细说明： 在faircontrol.php中： function addpost global $charset, $pbuser; if empty$pbuser die"".iconv$charset, "UTF-8//IGNORE", L"pleaseloginfirst"; $thememberid = $pbuser'pbuserid'; $companyid = ''; ifisset$POST'do' && isset$POST'id' pbsubmitcheck'do'; if $this-expo-checkExist$POST'id' &&...

某通用型系统SQL注入+数据库下载

简要描述： 某通用型系统SQL注入+数据库下载 详细说明： 某通用型系统SQL注入+数据库下载。 源码地址：XYCMS生物科技公司源码 v3.3 http://down.chinaz.com/soft/33908.htm SQL注入：jobyp.asp?id= 可谷歌搜索：inurl:jobyp.asp?id= 实例： http://www.ys-org.com/jobyp.asp?id=1 http://ouzhouyulecheng.com/jobyp.asp?id=1 http://jinsanjiaoyulecheng.net/jobyp.asp?id=1...

嘉缘人才系统多处sql注入打包

简要描述： 一次性全部打包，希望厂商重视这个问题，做好过滤。 详细说明： 这套cms存在一个很大隐患就是对于cookie的过滤。根据这个cms给出的函数可以写一个dome $v if strlen$k0 && pregmatch'/^cfg|GLOBALS/i',$k exit'Request var not allow!'; foreachArray'GET','POST','COOKIE' as $request foreach$$request as $k = $v $k0 != '' && $$k =...

XYCMS婚纱摄影中心建站系统存储型XSS+SQL注入

简要描述： XYCMS婚纱摄影中心建站系统存储型XSS+SQL注入。 详细说明： XYCMS婚纱摄影中心建站系统存储型XSS+SQL注入。 源码地址：XYCMS婚纱摄影中心 v1.7 http://down.chinaz.com/soft/35204.htm 1.存储型XSS：online.asp 实例+证明： http://www.gzblhs.com/online.asp http://www.028sheying.com/online.asp http://www.shmtq.com/online.asp http://www.tjjzl.cn/online.asp...

某gov在用行政服务系统某处SQL注入(Oracle数据库)

简要描述： RT 详细说明： 其他注入点，如： WooYun: 某大型政府服务系统Oracle注入使用量大 WooYun: 某Gov行政中心系统Oracle注入漏洞使用量大 WooYun: 某gov行政服务系统Oracle数据库搜索型POST注入 这处注入出在：lawquery.do?lawID=0006&method=queryDetailLaw lasID存在注入 目前wooyun上还没人提交，如图搜索结果： 按照通用程序标准（案例+演示），部分案例如下：...

ThinkSAAS 前台SQL注入（通杀所有版本？？？）

简要描述： 这几天一直在审计thinksaas，几个版本都看过，有个地方感觉有注入一直搞不定。 在此感谢 @狗狗侠 @牛肉包子 两位大牛的指点 详细说明： 看最新版的，16天前更新的。 app/group/action/do.php 看下回复评论出的代码 case "recomment": if$POST'token' != $SESSION'token' echo 1;exit; $referid = intval$POST'referid'; $topicid = intval$POST'topicid'; $content = tsClean$POST'content';...

某人才系统CSRF导致任意用户密码重置（Demo演示）

简要描述： 一个简单的CSRF引发的任意用户密码重置 详细说明： 一个简单的CSRF引发的任意用户密码重置 http://v2014.rccms.com 官方Demo 漏洞证明： 构造表单 None 然后用iframe标签嵌入到一个网页中，即可实施CSRF攻击，修改目标邮箱 然后找回密码...

方维某系统XSS盲打后台（Demo演示）

简要描述： 方维某系统XSS盲打后台（Demo演示） 详细说明： 方维旅游系统 官方 http://t1.fanwe.net 直接盲打后台了 漏洞证明： 试试弹窗 OK盲打吧 成功获取cookie...

某学校综合管理平台另一处Getshell漏洞

简要描述： 某学校综合管理平台另一处Getshell漏洞 详细说明： 系统名称：学校综合管理平台 厂商：上海安脉计算机科技有限公司 关键字：版权所有：上海安脉计算机科技有限公司 系统架构：ASPX+MSSQL ASP+MSSQL 漏洞成因：编辑器不规范使用（弱口令+数据库可下载） 漏洞证明： 枚举部分案例： http://anmai.net:81/PrepManage/Editor/adminlogin.asp http://jwxx.am.jsedu.sh.cn/ANMAI/PrepManage/Editor/adminlogin.asp...

phpb2b最新版两处sql注入#2

简要描述： RT 详细说明： 在friendlinkcontrol.php中： function add global $smarty; using "message"; $pms = new Messages; if isset$POST'do' && !empty$POST'friendlink' pbsubmitcheck'friendlink'; $data = $POST'friendlink'; $result = false; $data'status' = 0; $data'created' = $data'modified' =...

蝉知企业门户系统某文件sqli(可引发多处注入)

简要描述： rt 详细说明： 问题出在system/lib/dao/dao.class.php这个文件中 dao是一个sql语句拼接类，这个类有问题会导致多处注入，问题函数如下 public function in$ids if$this-inCondition and !$this-conditionIsTrue return $this; $this-sql .= helper::dbIN$ids; return $this; 我们跟进dbIN方法看看 static public function dbIN$ids ifisarray$ids return "IN '"...

MetInfo 5.2 /admin/include/common.inc.php 代码执行漏洞

/admin/include/common.inc.phpif!isarray$metlangadmin$GETlangset&&$GETlangset!=''die'not have this language'; if$GETlangset!='' $GETlangset=daddslashes$GETlangset,0,1; changemetcookie'languser',$GETlangset; savemetcookie; $M'user''cookie' = $metcookie; $metinfoadminname =...

UCenter Home 2.0 /shop.php SQL注入漏洞

No description provided by source...

某高校在用系统sql注入（打包）（DBA）（无需登录）2

简要描述： 1 详细说明： 案例较多，给CNCERT 漏洞证明： Apabi论文授权提交系统 版权所有© 北京方正阿帕比技术有限公司 谷歌搜索：论文授权提交系统 北京大学复旦大学什么的都在其中 漏洞文件doquery.asp 漏洞参数：txtStuName,txtStuNo,cboCollege,cboSubjectClass,txtMajor,inputStartDate,inputEndDate 随便来几个案例 210.44.126.14/tasi/admin/query/doquery.asp --data...

Wordpress Gravity Forms 1.8.19 /include/upload.php 文件上传漏洞

/includes/upload.php$filename = isset$REQUEST"name" ? $REQUEST"name" : ''; $fieldid = rgpost"fieldid"; $field = GFFormsModel::getfield$form, $fieldid; if empty $field die; // Clean the fileName for security reasons $filename = pregreplace'/^\w.+/', '', $filename; …. $tmpfilename = $formuniqueid...

Wordpress MainWP Child Plugin 2.0.9.1 /class/MainWPChild.class.php 登录绕过漏洞

/class/MainWPChild.class.php $this-postswheresuffix = ''; $this-commentsandclauses = ''; addaction'templateredirect', array$this, 'templateredirect'; addaction'init', array&$this, 'parseinit'; addaction'adminmenu', array&$this, 'adminmenu'; addaction'admininit', array&$this, 'admininit';...

TurboMail <=6.0.0 /mailmain 任意文件下载漏洞

No description provided by source...

ShopBuilder /?m=product&s=list&ptype SQL注入漏洞

No description provided by source...

xdcms最新版注入

简要描述： XDcms企业网站管理系统是一套完全开源的通用的内容管理系统。主要使用php+mysql+smarty技术基础进行开发，XDcms采用OOP（面向对象）方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展，代码维护，二次开发能力优秀。 XDcms开发团队具有多年网站开发经验，经过几年时间的沉淀，让我们更懂您的需求。 系统特点： 内容管理模型，自定义字段，更方便扩展功能。自带模型：单页模型、新闻模型、产品模型、招聘模型 栏目自定义，便于内容管理 模板管理，后台编辑模板更方便 邮件发送，表单留言自动发送邮件到邮箱 数据缓存，访问速度更快 会员自定义模型、字段...

方维名品折扣系统权限绕过漏洞(Demo)

简要描述： 权限绕过嘻嘻嘻嘻嘻嘻嘻 详细说明： http://www.fanwe.com/index.php?ctl=mingpin 这里有官方的演示 首先我们注册两个帐号 一个是测试帐号1 另一个是测试帐号2 我们在测试帐号2那里修改收货地址 并且进行抓包 我们可以看到在测试2这里抓包后 结尾有个ID=29 我们再去帐号1修改收货地址 并且进行抓包 我们可以看到在测试帐号1这边修改收货地址抓包后 它出来的ID是25 我们把这个25修改成测试帐号2的29 然后提交 提交成功后再回到测试帐号2中看看...

ThinkPHP某处设计缺陷可导致getshell

简要描述： ThinkPHP某处设计缺陷可导致getshell 详细说明： thinkphp中有个缓存函数S，在使用文件方式的缓存的时候，程序会有写出文件的操作。由于没做好过滤导致了代码执行。 判断缓存不存在则写出缓存文件。在使用文件缓存的时候，由于未对缓存文件设置访问权限。导致代码执行。 浏览器中访问 http://localhost:8888/thinkphp/Home/Index/index/?w=%0A;phpinfo%28%29;// 缓存写出成功，然后访问应用目录下的runtime/temp目录，文件名为key的32位md5. 成功执行phpinfo 漏洞证明：...

通达T9系统sql注射9处打包(demo站点root权限)

简要描述： T9智能管理平台是基于B/S架构，灵活、稳定、安全、高性能的办公系统。采用自主研发的引擎技术，提供强大的工作流和公文流程管理功能，可完全根据客户需求定制办公门户平台。 详细说明： 测试地址 http://t9.go2oa.com/t9/core/frame/webos/index.jsp 测试帐号及密码 oa/无 注入1： http://t9.go2oa.com/t9/t9/core/funcs/email/act/T9InnerEMailAct/sendMailAll.act post:seqIds=79804 and select 1 from select...

eyou某邮箱存在xss

简要描述： 邮箱过滤不严格导致XSS存在XSS漏洞 详细说明： 后缀mail.wxc.edu.cn的邮箱在邮件网关里面存在XSS漏洞 目测在邮件网关里面没有进行任何XSS过滤，导致可执行外部插入的xss代码。 1. 2. 3. 漏洞证明： 同上...

TurboMail <=6.0.0 /mailmain 跨站脚本漏洞

No description provided by source. !/usr/bin/env python coding: utf-8 import re import random from pocsuite.net import req from pocsuite.poc import POCBase, Output from pocsuite.utils import register class TestPOCPOCBase: vulID = '1709' vul ID version = '1' author = 'lixin' vulDate = '2014-05-15'...

方维在线订餐系统权限绕过可删除信息两处打包 (Demo)

简要描述： 两处权限绕过嘿嘿 详细说明： 这里有官方的演示:http://www.fanwe.com/dc 首先我们注册两个帐号 一个是测试帐号1 一个是测试帐号2 然后我们在测试帐号2的外卖配送地址修改并且抓包 我们可以看到这里有一个id=27 然后我再去测试帐号1修改外卖配送地址并且抓包 我们可以看到这里有一个Id=28 我们把他改为测试帐号2的id=27并且提交 提交成功了 我们再回到测试帐号2看看 我们发现测...

方维某系统越权漏洞（Demo演示）

简要描述： 越权 详细说明： 这个是官方演示站点（有的时候可能会换域名） http://ly.fanwe.com/ 漏洞证明： 两处越权打包 第一处 旅客信息 注意 因为已经有了一个张飞了 信息都一样 所以截断的时候 不能重复提交张飞 提交个张飞1 就可以 继续看 配送地址 两处越权如果遍历ID的话，可以删除全站 旅客信息 配送地址等...

YouYaX最新版存储型XSS漏洞（demo复现）

简要描述： RT 详细说明： 在回复消息处 cookie也可以获取 漏洞证明： 在回复消息处 cookie也可以获取...

嘉缘人才系统一处sql注入(demo测试成功)

简要描述： 官网DEMO测试 详细说明： 黑盒发现 嘉缘人才系统触屏版demo: http:/m.rccms.com/person/index.php?t=ajax&keyword=&searchtype=&btnArea=&id=963 其中id没有过滤 其中mysql报错，根据 WooYun: 嘉缘人才系统最新版sql注入直接出数据 获得日志文件路径为 http://m.rccms.com/data/log/sql6ecd87d0e5e1bd5ecc321bd2e1246e39.txt 构造如下exp...

KingCms最新版（k9）注入1枚

简要描述： KingCms最新版（k9）注入1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/fuwu/index.php HTTP/1.1 注入参数：where 问题文件在apps/fuwu/index.php function create $u=new user;$u-authrole'fuwu'; $db=new db;...

通达T9系统sql注射10处打包2(demo站点root权限)

简要描述： T9智能管理平台是基于B/S架构，灵活、稳定、安全、高性能的办公系统。采用自主研发的引擎技术，提供强大的工作流和公文流程管理功能，可完全根据客户需求定制办公门户平台。 详细说明： 测试地址 http://t9.go2oa.com/t9/core/frame/webos/index.jsp 测试帐号及密码 oa/无 注入1:...

嘉缘人才系统两处sql注入打包（直接出数据）

简要描述： 最新版 20150126 详细说明： 看到\frcms\member\companymyexpert.php elseif$do=='myexpert' if$Glimit1query$sql; $i=0; while$row=$db-fetcharray$query $rsd = $db-getone"select from $cfg'tbpre'myexpert where mpmember='$rowrmember' and mcmember='$username' and mrid=$rowrid limit 0,1"; if!$rsd $db -query"INSE...

通达T9系统sql注射10处打包(demo站点root权限)

简要描述： T9智能管理平台是基于B/S架构，灵活、稳定、安全、高性能的办公系统。采用自主研发的引擎技术，提供强大的工作流和公文流程管理功能，可完全根据客户需求定制办公门户平台。 详细说明： 测试地址 http://t9.go2oa.com/t9/core/frame/webos/index.jsp 测试帐号及密码 oa/无 注入1: http://t9.go2oa.com/t9/t9/core/funcs/email/act/T9EmailBoxAct/isBoxNameExist.act? post: boxName=test' and select 1 from select...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 10. Phpems某处存在SQL注入漏洞 存在注入漏洞的代码位于/app/exam/phone.php的favor函数中在这个函数中 具体位置如下 1029行往下 if$search'knowsid'$args = "quest2knows.qkknowsid IN $search'knowsid'"; if$type if$search'questype'$args = "questionrows.qrtype = '$search'questype''"; $favors =...

KingCms最新版（k9）注入1枚

简要描述： KingCms最新版（k9）注入1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/cuxiao/index.php HTTP/1.1 注入参数：where 问题文件在/apps/cuxiao/index.php function create $u=new user;$u-authrole'cuxiao'; $db=new...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 8.PHPEMS某处SQL注入漏洞 存在注入漏洞的代码位置是/app/exam/phone.php的exercise函数中 具体存在漏洞地方位于239行附近 $numbers$p'questid' = intvalceil$this-exam-getQuestionNumberByQuestypeAndKnowsid$p'questid',$knowids; 这里getQuestionNumberByQuestypeAndKnowsid第二个参数$knowids是完全可控的 进入函数内部 public function...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 9． Phpems某处存在SQL注入漏洞 存在注入代码的位置在/app/exam/phone.php的exercise函数中，具体位置在695行 $questionids = $this-question-selectQuestionsByKnows$args'knowsid',$args'number',$args'questid'; 这里的三个参数回溯下 if$this-ev-get'setExecriseConfig' $args = $this-ev-get'args'; 。。。 都是可以控制的 进入函数内部 public...

KingCms最新版（k9）注入一枚#7

简要描述： KingCms最新版（k9）注入一枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：GET...