doyo建站程序平行权限问题2处

简要描述： doyo建站程序平行权限问题2处 详细说明： 小伙伴和我看了下doyoCMS的逻辑，交wooyun小伙伴们看看是不是个漏洞 首先出现问题的地方是这段代码 代码位置：/source/member.php function mydel//多处逻辑越权操作 $molds=$this-syArgs'molds',1; $id=$this-syArgs'id'; switch $molds case 'comment': if!syDB'comment'-deletearray'cid'=$id,'user'=$this-my'user' message"删除失败,请重新提交";...

ThinkPHP一处过滤不当造成SQL注入漏洞

简要描述： 内核中某个模块开发的太粗糙啦。 详细说明： 问题出现在session，Thinkphp支持更换session handle。 handle中包括Db和Memcache，如下配置即可使用数据库作为session的存储器： 设置了选项后，在数据库里插入这个表（前缀think可以自己定义）： / 数据库方式Session驱动 CREATE TABLE thinksession sessionid varchar255 NOT NULL, sessionexpire int11 NOT NULL, sessiondata blob, UNIQUE KEY sessionid...

Discuz全版本存储型DOM XSS（可打管理员）附Discuz官方开发4大坑&验证脚本

简要描述： 由此次漏洞和上次的命令注入，看出Discuz官方开发4大坑： 1.发的补丁和diff官方最新版本安装包的结果不一定相同（导致后台升级，手动更新后已经在新版本修了的漏洞还在） 2.发补丁不发修复点的公告（导致二次开发的站考虑到兼容性不愿第一时间更新） 3.在线上改代码修漏洞却不发补丁 4.发补丁，发新版本安装包的时间，论坛发补丁帖的时间不一致，参见：http://download.comsenz.com/DiscuzX/3.2/ http://www.discuz.net/forum-10-1.html 详细说明： Discuz编辑器JS处理不当导致的存储型XSS。 产生原因：...

某通用图书管理系统存储型XSS

简要描述： XSS 可导致几十所大学学生身份证账号和姓名泄露 详细说明： 江苏汇文图书管理系统v5.0存在持久型xss漏洞 漏洞危害：存储型XSS，可以导致几十所大学学生姓名和身份证号码泄露，学生的个人信息处有身份证号码，以及部分学生手机号码和常用邮箱。 一共存在两处存储型xss ，以下用湖北工业大学图书馆为例 http://202.114.181.3:8080/opac/search.php 第一处：在图书评论处 1.首先我们登录图书馆账号和密码都是 1210100822 1210100823 1210100824 2.然后随便在搜索栏搜一本书，比如这本书...

mcms最新版SQL注入2枚打包（可出任意数据）

简要描述： mcms最新版SQL注入6枚打包（可出任意数据） 详细说明： 掌易科技的程序员反应相当快啊，确认漏洞当天就修复以后出新版本了，前面在wooyun提的几个漏洞新版的mcms做了相应的处理，发布了新版v3.1.2.enterprise，再来研究研究。 在文件上传的地方存在过滤不严的情况，前台就有多处可以上传的地方，而且每个上传点都有2个参数存在注入，这里打包提交吧。 下面以用户头象上传点进行说明 注入2枚：/statichttps://images.seebug.org/upload/uploadify.php...

JPORTAL资源整合SQL注射漏洞三

简要描述： JPORTAL资源整合SQL注射漏洞三 详细说明： 突然发现大汉网络的JPORTAL资源整合系统在一般应用里面，SO... 我来了 文件路径： /pertoolsubsite/resource/resdetaillistajax.jsp?tagid=1 部分代码为： String tagid = Convert.getParameterrequest,"tagid"; String tagname = Convert.getParameterrequest,"tagname"; int isiteid= userEntity.getIsiteid; int linages =...

某学位论文SQL漏洞

简要描述： 某学位论文SQL漏洞 详细说明： 某学位论文SQL漏洞 漏洞证明： 这次拿到清华大学的论文提交系统做 案例一： http://thesis.lib.tsinghua.edu.cn:8001/paper/search.jsp 出问题的在这里的账号，我在抓post发现这个抓去注入只能测试一次，也就是说你第一次post查出来是注入，再去post就会失败，需要从新抓取post数据。 ps:抓包千万别让他跳转到下一个页面，他这个参数抓一次就变一个 post数据： POST /papercon HTTP/1.1 Accept: image/jpeg,...

U-Mail邮件系统二次注入3（不鸡肋，可获取管理员密码）

简要描述： U-Mail邮件系统二次注入漏洞，可直接获取管理员密码 详细说明： 版本：最新版v9.8.57 漏洞文件 /client/oab/module/operates.php 代码 if ACTION == "save-to-pab" includeonce LIBPATH."PAB.php" ; $PAB = PAB::getinstance ; $maillistid = gss $GET'maillist' ; if $maillistid $memberall = $Maillist-getMemberByMaillistID $maillistid,...

U-Mail V9.8.57 /client/pab/module/o_contact.php SQL注入漏洞

No description provided by source...

U-Mail V9.8.54 /WorldClient/html/client/mail/module/o_mail.php 任意文件下载漏洞

No description provided by source...

Disucz X3.2 多处反射型XSS漏洞（函数缺陷导致）

简要描述： 某函数缺陷导致的 XSS。 详细说明： member.php?mod=logging&action=login&referer=javascript://www.discuz.net/ 欢迎您回来，Newbie xx，现在将转入登录前页面setTimeout"window.location.href ='javascript://www.discuz.net/';", 2000;setTimeout"window.location.href ='javascript://www.discuz.net/';", 2000; 如果您的浏览器没有自动跳转，请点击此链接...

PHPWind Showpic plugin /showpic.php 任意文件下载漏洞

No description provided by source...

某资料系统SQL注射

简要描述： 某资料系统SQL注射漏洞 详细说明： 某资料系统SQL注射漏洞 漏洞证明： 博文非书资料系统都会存在一个视频存储，而这个注入在 poweb/ShowPic?METAID=18920 案例一： C:\Python27\sqlmapsqlmap.py -u "http://219.243.15.9:8080/poweb/ShowPic?METAID=7 319" -v 1 案例二： C:\Python27\sqlmapsqlmap.py -u "http://210.44.1.2:8080/poweb/ShowPic?METAID=525 32" -v 1 案例三：...

PHPWind 7.5 /apps/groups/index.php 远程文件包含漏洞

No description provided by source...

嘉缘人才系统sql注入#4

简要描述： 求20rank 详细说明： 看到\frcms\wap\index.php $rid='';$title='我的求职简历';$chinese=$cnstatus=$visitnum=$personinfo=1; $member=$login;$adddate=dtime$frtime,6;$flag=$regpArray4==1?0:1; $rsqls=$rsqlss=''; foreach$rsqlstr as $v $v=strreplace'r','',$v; ifisset$$v $rsqls.="r$v,"; $rsqlss.="'".cleartags$$v."',...

某电子采购系统通用SQL注入漏洞，影响众多企业

简要描述： 某电子采购系统通用SQL注入漏洞，影响众多企业 详细说明： 软件厂商：北京网达信联科技发展有限公司 系统名称：电子采购平台 漏洞文件：epro/ebid/viewInvite.asp 由于inviteid参数过滤不严格，导致注入存在 漏洞证明： 部分案例： 彩虹集团：http://caigou.irico.com.cn/Rat/ebid/viewInvite.asp?inviteid=0000024185 中国南车：http://zhaobiao.cdjcc.com/epro/ebid/viewInvite.asp?inviteid=0000002597...

LebiShop系统sql注入二（四处注入）

简要描述： LebiShop商城系统最新版SQL注入二 四处 官方demo演示 当前版本： V3.2.00 更新日期： 2015-01-27 详细说明： 注入一 LebiShop\onlinepay\dinpay\returnurl.aspx 源码如下 protected void PageLoadobject sender, EventArgs e string str = base.Request.Form"merchantcode".ToString.Trim; string str2 = base.Request.Form"notifytype".ToString.Trim;...

maccms8.0 注入漏洞

简要描述： maccms8.0 注入漏洞 详细说明： 漏洞代码在 inc/ajax.php 首先通过封装的be方法取得tab参数 直接把tab参数带入到了查询当中，因为注入点不在双引号内部，所以可以直接注入。 这里需要一点小技巧让SQL语句不报错。payload如下： URL： http://10.1.157.64/maccms8mfb/inc/ajax.php ?ac=hits &tab=user,select1 as hits,2 as dayhits,3 as weekhits , 4 as monthhits ,5 as hitstimefrom dualtemp where 2...

帝友P2P任意密码支付密码重置让我超越马云爸爸不再是梦想

简要描述： 本屌为穷逼，买不起贵司10+W的而且代码质量高到可怕的产品，所以下了一个D版系统看源码。在网贷之家随机挑了几个站点测试，发现问题都存在…… 详细说明： 听说P2P借贷火成狗，然后看了看几家P2P借贷的站点，长得都差不多，看起来好像就是一个妈生的。本来想吐槽一下，关乎钱的事情，就不能认真点吗？但是，转念一想，艾玛，这不是一个通用程序么……赶紧脱掉裤子爽一发。 听说这货的产品卖得死贵（15W），翻阅了一下写的代码，质量实在对不起这个价格。之前在乌云上厂商还会接点bug打发打发白帽，现在听说弄了个绿M的检测报告之后屌都不屌乌云一下。 扯蛋完毕，本屌是小白一个，还请各位看官海涵。...

LebiShop系统sql注入一（四处注入）

简要描述： LebiShop商城系统最新版SQL注入 四处 2015-01-27 更新 详细说明： 第一处 LebiShop\onlinepay\dinpay\notifyurl.aspx 源码如下 protected void PageLoadobject sender, EventArgs e string str = base.Request.Form"merchantcode".ToString.Trim; string str2 = base.Request.Form"notifytype".ToString.Trim; string str3 =...

嘉缘人才系统sql注入可出任意数据

简要描述： 求20rank 详细说明： 看到frcms\member\personfavoriteadd.php defined'INFR' or exit'Access Denied'; if$usertype!='pmember' echo "alert'您好，您不是个人会员不能操作此功能！';location.href='javascript:history.back';"; exit; if$Glimit1=='-1' echo...

ThinkSAAS设计缺陷可任意删除他人评论

简要描述： 设计错误吧 详细说明： 我觉得这个不应该是你们的本意吧？ 漏洞证明： 这是他们官方站点就是用他们自己的系统搭建的 http://www.thinksaas.cn/vote/ 投票处，可删除任意用户评论 不用截断 不用改参数 我登陆的这个以18结尾的号，可以删除以30为结尾的号的评论...

LebiShop系统sql注入四（四处注入）

简要描述： LebiShop商城系统最新版SQL注入 四处 demo站点测试成功 详细说明： 注入一 二 主要漏洞代码一样 http://demo.lebi.cn/onlinepay/95epay/PayNotify.aspx http://demo.lebi.cn/onlinepay/95epay/PayResult.aspx 共同源码如下 protected void PageLoadobject sender, EventArgs e this.MerNo = HttpContext.Current.Request.Params"MerNo".ToString; this.Bill...

LebiShop系统sql注入三（两处注入）

简要描述： LebiShop商城系统最新版SQL注入二 四处 官方demo演示 详细说明： 注入一 http://demo.lebi.cn/onlinepay/tenpayJSDZ/payNotifyUrl.aspx 源码如下 protected void PageLoadobject sender, EventArgs e string where = base.Request"outtradeno"; //没处理 LebiOrder model = BLebiOrder.GetModelwhere; //跟进 if model == null...

某政务系统一处POST注入漏洞

简要描述： RT 详细说明： 案例如下: http://wssp.jiangxi.gov.cn:8008/outportal/licenseManage/newLicenseManage.jsp http://117.40.187.175:8008/outportal/licenseManage/newLicenseManage.jsp http://wssp.jdz.gov.cn/outportal/licenseManage/newLicenseManage.jsp...

mcms最新版任意表的任意字段注入+添加管理员+任意数据删除

简要描述： mcms最新版任意表的任意字段注入+添加管理员+任意数据删除 详细说明： 前两天在wooyun提了两个漏洞，一天就确认修复了，而且出了新版本，那我就去官网下个最新（v3.1.1.enterprise）的来看看学习学习吧。 问题一：任意表的任意字段注入 注入一枚：POST /app/user/info.php?m=save&ajax=1 POST中有个参数modelname，这个参数是用来与数据表前缀（TBPRE）拼接需要操作的数据表的表名的，在获得modelname时并没有过滤，因此，在数据表名可就可以进行注入了，当然，可以利用任意表的任意字段来进行注入。...

云之家线上系统若干枚持久跨站漏洞

简要描述： 路过帮测，还是有若干持久性跨站漏洞。感觉整套系统的输出处理并不统一，有些地方经过HTML编码，有些地方却木有。 详细说明： 在用户发起的投票处，在任务详情的“未完成理由”处、在个人账号信息处，在转化为任务等处，都可以触发跨站。 kdweibo.com 漏洞证明：...

JEECMS储存xss盲打后台#5

简要描述： 小号666 详细说明： http://wooyun.org/bugs/wooyun-2015-098481/trace/3ce4527023b52540e8afe821df7160d3 继续来 稳定压倒一切! Jeecms是基于java技术研发的站群管理系统，稳定、安全、高效、跨平台、无限扩展是jeecms 的优点，系统支持mysql、oracle、sqlserver、db2等主流数据库。 轻松建设大规模网站群，从jeecms开始 官网：http://www.jeecms.com/ demo地址：http://www.jeecms.com/demo.jhtml...

mcms最新版任意表的任意字段SQL注入漏洞

简要描述： mcms最新版任意表的任意字段SQL注入漏洞 详细说明： 前两天在wooyun提了两个漏洞，一天就确认修复了，而且出了新版本，那我就去官网下个最新（v3.1.1.enterprise）的来学习学习。 注入一枚：GET /app/user/info.php?m=changemodel&ajax=1&infoid=1&modelname=product GET中有个参数modelname，这个参数是用来与数据表前缀（TBPRE）拼接需要操作的数据表的表名的，在获得modelname时并没有过滤，因此，在数据表名可就可以进行注入了，当然，可以利用任意表的任意字段来进行注入。...

某信息发布系统SQL注入(demo复现)

简要描述： 某信息发布系统SQL注入demo复现 详细说明： 某信息发布系统SQL注入demo复现 漏洞证明： 注入在这个地方： 抓包看看： POST /index.php HTTP/1.1 Host: pmbdemo.youyax.com Proxy-Connection: keep-alive Content-Length: 21 Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8 Origin:...

phpmps某问题导致官网可被任意用户沦陷

简要描述： phpmps某问题导致官网可被任意用户沦陷 详细说明： http://www.phpmps.com/demo/data/com/thumb/20150104iaoydj.php 菜刀密码cai 这1月4日的shell没有被删除， WooYun: phpmps某处漏洞导致官网沦陷 而且漏洞已经向公众公开……所有人都可以看……任意沦陷…… 漏洞证明：...

JEECMS储存xss盲打后台#4(4处打包+demo演示)

简要描述： 小号666 详细说明： WooYun: JEECMS储存xss盲打后台1（demo演示） WooYun: JEECMS储存xss盲打后台2（打一送一+demo演示） WooYun: JEECMS储存xss盲打后台3（打一送二+demo演示） 继续来有打一送一，有打一送二，这次该打一送三了吧 稳定压倒一切! Jeecms是基于java技术研发的站群管理系统，稳定、安全、高效、跨平台、无限扩展是jeecms 的优点，系统支持mysql、oracle、sqlserver、db2等主流数据库。 轻松建设大规模网站群，从jeecms开始 官网：http://www.jeecms.com...

WDCP一处小地方不严谨引发的一系列安全隐患

简要描述： 求打雷求打雷 貌似WDCP的用户好多呀，然后某宝上面用wdcp做控制面板开空间的也好多... WDCP一处小地方不严谨，引发成功登录和登录失败的IP均可以被伪造、“登录锁定”这个功能被绕过、登录记录前台无法查看、奇怪的生物混进来以及各种xss 详细说明： 本漏洞是基于 WooYun: WDCP后台的登录IP可被伪造 的再深入挖掘 系统信息 系统名称：WDlinux Control Panel 简称wdCP WD订阅 当前版本: wdcpv2.5.1120140926 最新 wdcpv2.5.1120140926 更新日志 操作系统：Linux 2.6.18-308.el5...

嘉缘人才系统存储型xss

简要描述： rt 详细说明： 首先注册一个用户，然后新建一份简历。在简历的添加教育背景处插入xss payload 然后保存这份简历。 可以看到插入的数据 数据没有编码直接进入数据库了。 然后查看简历直接触发 在后台简历管理，也可触发。偷取管理员cookie。 漏洞证明： img src="https://images.seebug.org/upload/201502/22235042cdc7d743d84b93343ef1a5d9f476c06a.jpg" alt="4...

嘉缘人才系统sql注入

简要描述： rt 详细说明： 看到看到frcms\inc\ contacts.php if$companyid!=0 if$hireid!=0 $db -query"update $cfg'tbpre'hire set hvisitcount=hvisitcount+1 where hid=$hireid and hcomid=$companyid"; $goto=$cfg'path'."co/hire.php?id=$hireid"; $rs = $db-getone"select...

嘉缘人才系统sql注入#3

简要描述： 求20rank 详细说明： 首先看到frcms\member\requireslist.php if$do=="savedata" if$POST'id'=="" $POST'sid'=intval$Memberid; $POST'member'=getcookie'userlogin'; $POST'school'=getcookie'username'; ifempty$POST'title' showmsg'标题不能为空！','-1';exit; $POST'adddate'=date'Y-m-d H:i:s';...

WinWebMail邮件系统一存储型XSS

简要描述： WinMail邮件系统是公司、院校、组织、政府部门的企业邮局系统架设软件。客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、等等，总之使用单位相当多。winMail某处容易忽视的地方存在xss漏洞，导致打开信就触发漏洞。 详细说明： WinMail邮件系统是公司、院校、组织、政府部门的企业邮局系统架设软件。客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、等等，总之使用单位相当多。winMail某处容易忽视的地方存在xss漏洞，导致打开信就触发漏洞。...

WDCP后台的登录IP可被伪造

简要描述： 据说可以让名字或ID,永久驻留wdcp的手册里 详细说明： 本漏洞台词方法灵感等部分or均来自 ksc 前辈某个漏洞的描述 （=感觉我厚脸皮呀=） 我不知道要不要这样说明一下噢，如果不需要的话，管理大大删掉这三段呗 获取用户ip的时候 使用了信息 X-Forwarded-For 假如仅仅是提示用户的地方使用的此信息，则问题不是很严重 若其他地方有基于ip地址做安全校验的地方就修改下代码吧 首先，在一些改X-Forwarded-For的插件里面，改自己想要的IP，比如9.9.9.9 然后登录 漏洞证明：...

HDWIKI最新版Update注入可修改管理员密码（MYSQL进制技巧）

简要描述： 最新版HDWIKI 5.1 GBK 无视GPC 上首页吧！ 详细说明： 问题出在\hdwiki\control\user.php下 最新版HDWIKI 5.1 GBK版本 HDWIKI全局过滤，但是面对宽字节注入，就容易出问题了 function doeditprofile ifisset$this-post'submit' $gender = intval$this-post'gender'; $birthday = strtotime$this-post'birthday'; $location = $this-post'location'; $signature =...

WordPress Plugin EasyCart 3.0.4 /inc/amfphp/administration/banneruploaderscript.php 文件上传漏洞

No description provided by source...

WordPress Plugin DB_Backup 4.5 /download.php 任意文件下载漏洞

No description provided by source...

WordPress Plugin Revslider 4.1.4 /inc_php/framework/base_admin.class.php 文件上传漏洞

No description provided by source...

WordPress Symposium 14.11 /server/php/index.php 文件上传漏洞

No description provided by source...

Mao10CMS V3.1.0 SQL注入 2

简要描述： Mao10CMS V3.1.0 SQL注入 2 另外一处 详细说明： Application\User\Controller\LoginController.class.php 第17行 $pageid = M'meta'-where"metakey='username' AND metavalue='".I'param.username'."' AND type='user'"-getField'pageid'; I'param.username' 没有经过过滤，可以sql注入，payload: ' and sleep5 确实可以注入。 漏洞证明：...

WordPress Survey_and_poll Plugin 1.1 /settings.php SQL注入漏洞

No description provided by source...

WordPress Video_Gallery Plugin 2.7.0 /videogalleryrss.php SQL注入漏洞

No description provided by source...

Wordpress Plugin Ajax-Store-Locator 1.2 /ajax-store-locator-wordpress_0/sl_file_download.php 任意文件下载漏洞

No description provided by source...

ESPCMS最新版后台登入绕过DEMO测试

简要描述： 漏网之鱼，同样是加解密函数，但又与以前不同。 详细说明： 看看加解密函数 function eccode$string, $operation = 'DECODE', $key = '@LFK24s224%@safS3s%1f%', $mcrype = true $result = null; if $operation == 'ENCODE' if extensionloaded'mcrypt' && $mcrype $result = $this-encryptCookie$string, $key; else for $i = 0; $i...

DiscuzX 3.2 最新版死循环GET漏洞可对用户和服务器造成拒绝服务影响（有前提条件）

简要描述： DiscuzX3的论坛存在一个缺陷，会导致死循环变成CC攻击服务器，此时浏览器失去响应，关闭都很困难，只能杀死进程。 详细说明： DiscuzX3的论坛存在一个缺陷，如果连续多层楼（例如4层）都有回帖可见的隐藏内容，并且隐藏内容为图片的时候文字暂时没测试，在帖子第一页底部进行回帖，会导致死循环变成CC攻击服务器，此时浏览器失去响应，关闭都很困难，只能杀死浏览器进程。 漏洞证明： 发布一个帖子，1-4层楼都插入图片，并且放进回帖可见的隐藏内容。 其他用户希望看到内容，在底部直接回帖，会导致无限死循环攻击服务器。...

ThinkSNS 防御绕过思路(union select 真正的无限制sql注射)

简要描述： ThinkSNS 防御绕过思路union select 真正的无限制sql注射 详细说明： public function bulkDoFollow // 安全过滤 $res = $this-followmodel-bulkDoFollow$this-mid, t$POST'fids'; $this-ajaxReturn$res, $this-followmodel-getError, false !== $res; 跟进bulkDoFollow public function bulkDoFollow$uid, $fids $followstates =...