通达T9系统sql注射10处打包(demo站点root权限)

简要描述： T9智能管理平台是基于B/S架构，灵活、稳定、安全、高性能的办公系统。采用自主研发的引擎技术，提供强大的工作流和公文流程管理功能，可完全根据客户需求定制办公门户平台。 详细说明： 接 WooYun: 通达T9 oa系统sql注射12处打包demo站点root权限 测试地址 http://t9.go2oa.com/t9/core/frame/webos/index.jsp 测试帐号及密码 oa/无 注入1：http://t9.go2oa.com/t9/core/funcs/doc/flowrun/list/print/index.jsp?runId=78&flowId=572...

Doyo建站最新版本存在CSRF添加管理员漏洞

简要描述： Doyo建站最新版本存在CSRF添加管理员漏洞 详细说明： 在后台添加管理员打开burp抓下包看看是怎么样的带入数据库的 None 漏洞证明：...

嘉缘人才系统两处sql注入打包（直接出数据）

简要描述： 最新版 20150126 详细说明： 看到\frcms\member\companymyexpert.php elseif$do=='myexpert' if$Glimit1query$sql; $i=0; while$row=$db-fetcharray$query $rsd = $db-getone"select from $cfg'tbpre'myexpert where mpmember='$rowrmember' and mcmember='$username' and mrid=$rowrid limit 0,1"; if!$rsd $db -query"INSE...

KingCms最新版（k9）注入1枚

简要描述： KingCms最新版（k9）注入1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/cuxiao/index.php HTTP/1.1 注入参数：where 问题文件在/apps/cuxiao/index.php function create $u=new user;$u-authrole'cuxiao'; $db=new...

嘉缘人才系统一处sql注入(demo测试成功)

简要描述： 官网DEMO测试 详细说明： 黑盒发现 嘉缘人才系统触屏版demo: http:/m.rccms.com/person/index.php?t=ajax&keyword=&searchtype=&btnArea=&id=963 其中id没有过滤 其中mysql报错，根据 WooYun: 嘉缘人才系统最新版sql注入直接出数据 获得日志文件路径为 http://m.rccms.com/data/log/sql6ecd87d0e5e1bd5ecc321bd2e1246e39.txt 构造如下exp...

KingCms最新版（k9）注入1枚

简要描述： KingCms最新版（k9）注入1枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/fuwu/index.php HTTP/1.1 注入参数：where 问题文件在apps/fuwu/index.php function create $u=new user;$u-authrole'fuwu'; $db=new db;...

phpems某处设计失误导致3枚SQL注入漏洞

简要描述： phpems某处设计失误导致3枚SQL注入漏洞 详细说明： 4. PHPems再来3枚SQL注入漏洞吧 存在漏洞代码位置在/app/exam/app.php的lesson函数中 public function lesson $action = $this-ev-url3; $page = $this-ev-get'page'; switch$action case 'ajax': switch$this-ev-url4 case 'questions': $number = $this-ev-get'number'; if!$number$number = 1; $quest...

Mao10CMS V3.2.0存储型XSS

简要描述： 冒泡 详细说明： 在index.php?m=user&c=index&a=edit&id=2中 修改个人信息，在修改的时候截包 将头像路径的值改成一段xss代码 然后提交，看到入库的时候双引号转义了 来到数据库看看 所以呢，如果出库的时候没有任何防御的话，就造成一个xss攻击 更新完之后来到我的主页，弹框了，看看现在的view-source: 恩，成功了，这个输出点是没任何限制的，想怎么写就怎么写。 漏洞证明：...

PHPEMS多处存在水平权限问题

简要描述： PHPEMS多处存在水平权限问题 详细说明： 7.多处逻辑漏洞导致平行权限问题 Phems中多处存在平行权限问题，因为要杜绝这个问题必须每次数据库操作都要带上sessionuser但是phems的程序员却非常不配合，导致了多处存在平行权限的问题，我查阅了/app/exam/app.php这一页代码，给出具体出现的问题如下 1. 2108行附近 //删除一个错题记录// 平行权限漏洞 case 'delrecord': $recordid = $this-ev-get'questionid'; $this-favor-delRecord$recordid;...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 5.phpems某处SQL注入漏洞 存在注入漏洞代码位于/app/exam/app.php的函数favor中 具体在 default: $page = $this-ev-get'page'; $type = $this-ev-get'type'; $search = $this-ev-get'search'; $tmp = $this-section-getKnowsListByArgsarray"knowssectionid = '$search'sectionid''","knowsstatus = 1";...

phpems多处水平权限漏洞可进行订单操作

简要描述： phpems多处水平权限漏洞可进行订单操作 详细说明： 3.网站多处存在平行权限漏洞 存在漏洞的代码位置在/app/user/center.php的payfor函数中 public function payfor $subaction = $this-ev-url3; $orderstatus = array1='待付款',2='已完成',99='已撤单'; $this-tpl-assign'orderstatus',$orderstatus; switch$subaction case 'remove': $oid = $this-ev-get'ordersn'; $ord...

phpems某处设计不当可任意用户登陆

简要描述： phpems某处设计不当可任意用户登陆 详细说明： 马上要去实习了，时间越来越珍贵，再发一个cms的吧 1.Phpems存在一个平行权限和垂直权限的奇葩漏洞，利用这个漏洞可以登录任意用户包括管理员。 具体出现漏洞的地方在/app/exam/api.php的login函数中 //通过接口进行登录 public function login //print "start";exit; $sign = $this-ev-get'sign'; $userid = $this-ev-get'userid'; $username = $this-ev-get'username';...

Mao10cms最新版本存在CSRF越权导致管理员发表文章

简要描述： Mao10cms最新版本存在CSRF越权导致管理员发表文章 详细说明： 进入后台。看看发表文章是怎么的。 先打开burp顺便把包截取了 None 漏洞证明： 打开它后。。...

KingCms最新版（k9）注入又一枚

简要描述： KingCms最新版（k9）注入又一枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/fangwu/index.php HTTP/1.1 注入参数：where 问题文件在/apps/fangwu/index.php $u=new user;$u-authrole'fangwu'; $db=new db;...

KingCms最新版（k9）注入2枚

简要描述： KingCms最新版（k9）注入2枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/forum/index.php HTTP/1.1 当POST的参数cmd分别为topic和board时，会有两个地方存在注入，这里以cmd为topic为例进行说明 注入参数：where 问题文件在/apps/forum/index.php...

KingCms最新版（k9）注入一枚#4

简要描述： KingCms最新版（k9）注入一枚4 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：POST /apps/content/tag.php 注入参数：tagname 问题文件在/apps/content/tag.php function edit $u=new user;$u-authrole'contenttag';...

PHPEMS一处SQL注入漏洞

简要描述： PHPEMS一处SQL注入漏洞 详细说明： 6.phpems某处存在SQL注入漏洞 存在注入漏洞的代码位置是/app/exam/app.php的exercise函数中 具体代码在靠后的位置928行左右 $questionids = $this-question-selectQuestionsByKnows$args'knowsid',$args'number',$dt;//SQL注入漏洞 这里的参数$args'knowsid' 回溯898行$args = $this-ev-get'args';可以从URL控制 然后进入函数 public function...

phpems前台某4处getshell漏洞

简要描述： phpems前台某4处getshell漏洞 详细说明： 2.phpems前台某4处getshell漏洞 存在漏洞的代码在/app/document/api.php的upload,uploadfile,swupload,swfuploadvideo这四个函数上，因为这四个函数都是处理上传文件的，而且处理方式都一模一样，所以均存在任意文件上传漏洞 首先这四个函数通过注册用户登录，调整URL参数均可以访问到 接下来我以 public function swfuploadvideo $path = 'files/attach/images/content/'.date'Ymd'.'/...

KesionIMall可直接注册管理员

简要描述： 官方demo: http://imall.kesion.com/ 偶然看到kesionimall 更新了。 更新时间：2015-02-07 http://down.admin5.com/net/101171.html 详细说明： demo 测试。 注册会员。截包， 修改groupid为1.个人id为2 如图。 漏洞证明：...

某高校在用系统sql注入（打包）（DBA）（无需登录）

简要描述： 1 详细说明： 案例较多，给CNCERT 漏洞证明： Apabi论文授权提交系统 版权所有© 北京方正阿帕比技术有限公司 谷歌搜索：论文授权提交系统 北京大学复旦大学什么的都在其中 漏洞文件publish.asp 里的txtStuName,txtStuNo,cboCollege,cboSubjectClass,txtMajor,inputStartDate,inputEndDate 案例 210.44.126.14/tasi/admin/publish/publish.asp?action=querylist --data...

KingCms最新版（k9）绕过过滤6处注入打包

简要描述： KingCms最新版（k9）绕过过滤6处注入打包 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：GET...

thinksaas某处平衡权限漏洞

简要描述： 越权操作 详细说明： 在用户空间的，“最新消息”和“好友消息”处对未对用户进行验证，导致可以冒充其它任意用户发消息，详细： 1、注册三个用户：admin admin1 admin3 2、用户admin3给admin1发消息： https://images.seebug.org/upload/201503/1017281825bd6b9cfe1c976d1611c93a5ef0b094.png 3、登入admin1打开消息，回复，抓包修改参数，可以将回复的消息发给admin，同时还可以冒充admin3给admin发消息：...

ThinkSAAS平衡权限漏洞二

简要描述： 权限控制.. 详细说明： 官网最新版存在平衡权限漏洞，进入用户自己的空间，修改基本信息： 添加“个人标签”，抓包，改包: 将objid修改为1，1是admin用户ID 登入admin查看个人标签： admin1的标签已经成了admin的标签.... 漏洞证明： https://images.seebug.org/upload/201503/10204855f2f51b9f73e4b6fcb7dbcd388a566d28.pn...

phpMoAdmin 1.1.3 /moadmin.php 代码执行漏洞

/moadmin.php / Saves an object @param string $collection @param string $obj @return array / public function saveObject$collection, $obj eval'$obj=' . $obj . ';'; //cast from string to array return $this-mongo-selectCollection$collection-save$obj; …. $action = isset$GET'action' ? $GET'action' :...

KingCms最新版（k9）注入一枚

简要描述： KingCms最新版（k9）注入一枚 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k92014-12-13更新，官网下下来学习一下。 在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞 注入点：GET...

ElasticSearch Groovy 脚本 远程代码执行漏洞

漏洞相关文件：com.elasticsearch.script.groovy.GroovySandboxExpression-Checker 产生漏洞代码在实现沙盒的类是 com.elasticsearch.script.groovy.GroovySandboxExpression-Checker ,它订制了 Groovy 的沙盒,对表达式进行了安全检测,但是这个沙盒与Java 的 SecurityManager那种沙盒是不同的,从代码中可以看到这个沙盒,只是根据黑白名单,在表达 式语义上判断表达式是否合法的,可以说是一个“浅”沙盒。 具体的代码流程如下图:...

QiboCMS v7 /member/comment.php SQL注入漏洞

No description provided by source...

Qibo Blog 1.0 /blog/ajax.php SQL注入漏洞

No description provided by source...

KingCms最新版越权大礼包

简要描述： KingCms最新版越权大礼包 详细说明： 朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k9，官网下下来学习一下。 在wooyun看到了几个漏洞，如：http://wooyun.org/bugs/wooyun-2010-043520 这里的越权大礼包包括删除网站所有会员、重置所有会员密码、修改所有会员用户名。 0x00：先来看看获得相关权限的绕过方法吧 Kingcms使用 $u=new user; $u-authrole'XXX'; 来验证用户是否具有XXX的权限，关键是user类。...

LebiShop商城系统无需登录getshell

简要描述： www.lebi.cn 十余年累计被 上万 个中小网站采用LebiShop = =官方demo 演示。 详细说明： 漏洞文件 http://demo.lebi.cn/ajax/imageuploadone.aspx 无需验证 参数path可控，这里修改为path=../config.asp 默认path 为upload。 官方限制目录执行了。但可绕过该上传目录。 利用iis 解析漏洞成功getshell。 漏洞证明： 如图。...

phpmywind最新5.2版本存在CSRF添加管理员漏洞

简要描述： phpmywind最新5.2版本存在CSRF添加管理员漏洞 详细说明： 嗯哼？ 在后台添加管理员时候开启burp截取下包 看看是怎么样的。 None...

Qibo Blog 1.0 /blog/ajax.php 远程密码修改漏洞

No description provided by source...

Qibo Blog 1.0 /blog/member/update_sort.php SQL注入漏洞

No description provided by source...

FengCms1.30注入(前台)

简要描述： http://www.fengcms.com/ 最新版本1.30 详细说明： app\model\messageModel.php public function save$array if$SESSION'authnum'!=$array'vcode'||$SESSION'authnum'=="" return array'status' = 'c';exit; unset$array'vcode'; $re=D$this-dname-insert$array; if$re $SESSION'authnum'=""; return array'status' =...

图书馆opac单点登录缺少认证引发的学生信息泄露

简要描述： 汇文opac在中国高校中广泛使用，部分高校为了结合校园网门户系统，在opac中使用了单点登录功能，汇文的单点登录接口只要读取学号（或一卡通号）即可绕过密码认证直接登录“我的图书馆”，从而引起学生信息泄露。好在目前使用的高校貌似并不多，影响范围并不是非常大。 详细说明： 以东南大学图书馆opac为例：http://www.libopac.seu.edu.cn:8080/ 汇文的单点登录接口为reader目录下的hwthau2.php 首先尝试文件是否存在 地址：http://www.libopac.seu.edu.cn:8080/reader/hwthau2.php...

doyoCMS注入漏洞1处

简要描述： doyoCMS注入漏洞1处 详细说明： 注入漏洞一枚： 存在注入的代码位置/source/pay.php 具体代码： function order if$this-syArgs'oid'||$this-syArgs'orderid',1!='' if$this-syArgs'oid'$r=array'id'=$this-syArgs'oid',1;else$r=array'orderid'=$this-syArgs'orderid',1; $order=$this-c-find$r;...

DamiCMS 任意控制投票票数

简要描述： DamiCMS 任意控制投票票数 详细说明： 投票的关键代码如下。 foreach$POST'vote' as $v vardump$v; $v = strreplace"\n","",$v; $s = explode"=",$v; vardump$s; $data'vote' = strreplace$v,$s0."=".intval$s1 + 1,$data'vote'; vardump$data; if$vote-where'id='.intval$POST'id'-save$data 传入的数据用等号分割，类似 选项1=3 会变成 array选项1,3，...

Discuz!3.0-3.2版本的通杀xss存储漏洞（需开始直播功能）

简要描述： 这个必须得高危啊！！！！！！！！！！！ 来个雷劈可好？ 详细说明： 小白不会审计代码 然后咱们就直接进入主题吧！ discuz3.0-3.2有个功能叫直播的。实习版主就能开启哈 接着咱们就用admin帐号先把一个帖子弄成直播！ 接着。我们用新注册的用户。。咳咳。得等两分钟。再能发话哈 然后用等待的时间去进行弄exp 弄成base16的 点击发表 呵呵。弹窗了 漏洞证明： 来。接着 discuz 3.1版本测试...

某gov行政服务系统Oracle数据库搜索型POST注入

简要描述： RT 详细说明： 排除该套系统其它注入点： WooYun: 某大型政府服务系统Oracle注入使用量大 WooYun: 某Gov行政中心系统Oracle注入漏洞使用量大 此处是一个POST注入，存在注入地方：spjggsQuery.do?method=busiinfoquery POST参数id存在注入 wooyun还没人提交，抢先。。如图： 按照通用程序标准（十个以上案例+演示），部分案例如下： http://119.1.108.246/spjggsQuery.do?method=busiinfoquery...

精讯cms sql注入(直接提升为管理员)

简要描述： 用户量挺大的一个cms 详细说明： 看到Lib\Action\MemberAction.class.php public function profile $this - obj - isLogin or $this - showMsgL'LOGINFIRST', Url :: getUrl'member', 'login'; if $this - isSubmit if $this - obj - edit $this - showMsgL'OPERATESUCCESS', $this - referer; else $this - showMsg$this - obj -...

doyocms平行权限问题之泄露订单

简要描述： doyocms平行权限问题之泄露订单 详细说明： 订单越权查看漏洞 出现问题的代码位于source/member.php处 function myorder if$this-syArgs'oid'||$this-syArgs'orderid',1!='' if$this-syArgs'oid'$r=array'id'=$this-syArgs'oid';else$r=array'orderid'=$this-syArgs'orderid',1; $this-order=syDB'order'-find$r;...

SDCMS 最新门户版 V3.0 储存型xss一枚 可盲打后台

简要描述： 严谨的说 是编辑器xss储存型漏洞 详细说明： 虚拟主机搭建测试： 需要条件： 开启会员注册默认开启 开启投稿功能（默认开启） 下载地址： http://www.sdcms.cn/product/portal.html 默认 开启会员注册 无需审核 原本想在demo上测试的 但是他开启审核了 ---------------------------------------- 注册个会员 找到在线投稿 选择文章模型 远程上传地址处 插入： " 提交 img...

damicms绕过防xss规则盲打后台(v4.9)

简要描述： damicms绕过防xss规则盲打后台v4.9 详细说明： 前台留言的地方，使用了getclientip ，代码如下。 使用了 removexss 来做过滤，但是可以这样来绕过 之后就可以弹窗了 漏洞证明：...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用多个案例来测试。 注入链接是： searchTypeDir.jsp?departmentid= 案例： http://222.160.140.29:8000/zwdtSjgl/Directory/searchTypeDir.jsp?departmentid=DE200804031229450156&departmentname=市民族事务委员会&departmentType=1&title1code=12&typeDirName=年度政府信息公开工作...

XYCMS管理咨询公司建站系统存在默认数据库下载和存储型XSS

简要描述： XYCMS管理咨询公司建站系统存在默认数据库下载和存储型XSS 详细说明： XYCMS管理咨询公司建站系统存在默认数据库下载和存储型XSS。 源码地址：http://down.chinaz.com/soft/29472.htm 一是存在存储型XSS，发生在在线应聘处，可插入XSS代码，漏洞文件：Careersyp.asp 可谷歌搜索：inurl:Careersyp.asp 实例如下：http://www.gaonengkedi.com/Careersyp.asp?id=4 http://njqygl.com/Careersyp.asp?id=1...

ThinkSNS 防御绕过思路(union select 真正的无限制sql注射)

简要描述： ThinkSNS 防御绕过2 详细说明： 这个代码跟的我好辛苦啊： public function PostFeed // 返回数据格式 $return = array'status'=1, 'data'=''; // 用户发送内容 $d'content' = isset$POST'content' ? filterkeywordh$POST'content' : ''; // 原始数据内容 $d'body' = filterkeyword$POST'body'; // 安全过滤 foreach$POST as $key = $val $POST$key =...

ShopEx某注入漏洞修复不彻底

简要描述： 安全是一个整体，不能指哪修哪。。。 详细说明： 在乌云上看到了这个 http://wooyun.org/bugs/wooyun-2014-088313 于是手贱点开了，发现修复的不彻底啊。。 原来好像什么保护都没有，现在参数给加了双引号和括号保护，变成了"xxx"这个样子，可以依然可以注入啊。 漏洞证明：...

大汉信息公开系统SQL注射

简要描述： 某政府大量使用信息公开系统SQL注射 详细说明： 该系统被大量使用，Google关键字: inurl:/xxgk/jcmsfiles /xxgk/jcmsfiles/jcms1/web1/site/zfxxgk/letterbox/queletterbox.jsp?targetid=1 无需登录，targetid存在注入 漏洞证明： Microsoft Windows 版本 6.1.7601 版权所有 c 2009 Microsoft Corporation。保留所有权利。 C:\Users\Administratorsqlmap.py -u...

LebiShop系统sql注入完结（两处注入）

简要描述： LebiShop商城系统最新版SQL注入 demo站点测试成功 最后两处 详细说明： 注入一 \onlinepay\wangyinzaixian\AutoReceive.aspx 源码如下 protected void PageLoadobject sender, EventArgs e this.void = base.Request"void"; //没处理 LebiOnlinePay onlinePay = Money.GetOnlinePaythis.void; //跟进 if onlinePay == null base.Response.Write"系统错误";...

某通用型电子采购平台可遍历用户和管理员账户密码

简要描述： RT 详细说明： 前人大牛的洞洞 WooYun: 某通用型电子采购平台SQL注射（涉及大量企业） WooYun: 某通用型电子采购平台存在任意文件上传漏洞GETSHELL WooYun: 某通用型电子采购平台从某处目录遍历到任意文件上传GetShell 我也来凑凑热闹 老问题，权限控制问题 漏洞证明： 演示地址为某上市公司 http://cg.jishimedia.com 首先注册账户，登录之后进入密码修改 此时查看源代码即可获取当前用户密码 burpsuite抓包 放入intruder利用0000-9999遍历UserID即可获取所有人员姓名用户和密码，包括管理员 管理后台...