齐博CMS二次注入一枚

简要描述： 广告：求react.js和ruby on rails爱好者，我要拜师！！ 详细说明： 齐博系统较多，我只以开源的整站做例子说，但不代表其他系统不存在这个问题，我没测试。 齐博CMS默认用户注册后可以给“美女欣赏”这个栏目投稿，投稿时候可以填写文章的“关键字”keyword： 这个内容保存在article这个表中的keywords字段中。 我们来到/do/fujsrticle.php，93行开始： if!$keyword $erp=getidtable$id; extract$db-getone"SELECT keywords AS keyword FROM...

PHPB2B网站管理系统SQL注入漏洞(无视防注入)

简要描述： RT 详细说明： 注入链接：/virtual-office/job.php 注入参数：job 漏洞代码：（第52行开始） if !empty$POST'job' && $POST'save' $vals = $POST'job'; pbsubmitcheck'job'; // 验证post提交的token,可直接使用get访问job.php后在网页源码中搜索formhash获取 $nowjobamount = $job-findCountnull, "created".$todaystart." AND memberid=".$thememberid; if...

phpok最新版另一CSRF(GET型)导致可以getshell

简要描述： 另一CSRF 详细说明： 在后台风格管理处，是通过一个get型请求来删除模版，将目录和文件名改为安装锁定的文件install.lock： http://localhost/phpok/admin.php?c=tpl&f=delfile&id=1&folder=./../../data/&title=install.lock 请求后返回ok，访问首页就会跳到安装向导去，将数据库连接信息设为一个自己的公网mysql服务器，管理员设置处又可以设置一个新的账号密码了： 安装成功！用设置的管理员账号和密码登入后台...

齐博CMS博客系统注入（可更新数据库,demo测试）

简要描述： 不知道 详细说明： 漏洞文件 ../blog/template/space/file/viewmusic.php function getviewmusic global $db,$uid,$pre,$id,$timestamp,$BM; $db-query"UPDATE $BMmusicsong SET hits=hits+1,lastview='$timestamp' WHERE id='$id'"; $rsdb=$db-getone"SELECT FROM $BMmusicsong WHERE id='$id'"; $rsdbposttime=date"Y-m-d...

PHPB2B网站管理系统SQL注入#2(无视防注入)

简要描述： SQL注入2 详细说明： 注入链接：/virtual-office/brand.php 注入参数：databrand 漏洞代码：（第24行开始） if isset$POST'save' && !empty$companyid $company-newCheckStatus$companyinfo'status'; if!empty$POST'data''brand' $vals = $POST'data''brand'; ifisset$POST'id' $id = intval$POST'id'; $attachment-renamefile =...

PHPB2B最新版Update注入

简要描述： RT 详细说明： 注入链接：/virtual-office/offer.php 注入参数：tradeid 漏洞代码：（第346行开始） ifisset$POST'refresh' if !empty$POST'refresh' && !empty$POST'tradeid' $vals = array; $presubmittime = $pdb-GetOne"select maxsubmittime from $tbprefixtrades where memberid=".$thememberid; if...

PHPB2B网站管理系统SQL注入#4(无视防注入)

简要描述： SQL注入4 详细说明： 注入链接：/libraries/core/controllers/friendlinkcontroller.php 注入参数：friendlink 漏洞代码：（第18行开始） function add global $smarty; using "message"; $pms = new Messages; if isset$POST'do' && !empty$POST'friendlink' pbsubmitcheck'friendlink'; $data = $POST'friendlink'; $result = false;...

ShopNC删除任意用户信息（Demo演示）

简要描述： 通用 详细说明： 越权漏洞 漏洞证明： 账号A，账号B 在账号A修改截断，然后修改ID为账号B的ID 或者遍历都可以 后头来看账号A多了一个 而账号B的资料已经被删除 如果我们遍历ID那么 全站资料可以被删除...

ThinkSNS 防御绕过思路(union select 真正的无限制sql注射)

简要描述： ThinkSNS 防御绕过思路union select 真正的无限制sql注射 详细说明： 经过我们的分析%00可以全局绕过： public function shareFeed // 获取传入的值 $post = $POST; // 安全过滤 foreach$post as $key = $val $post$key = t$post$key; // 过滤内容值 $post'body' = filterkeyword$post'body'; // 判断资源是否删除 ifempty$post'curid' $map'feedid' = $post'sid'; else...

某校园系统一处遗漏通用SQL注入漏洞

简要描述： 校园系统通用SQL注入 详细说明： 漏洞细节： 见乌云，URL： WooYun: 某通用型校园校务系统SQL注入 属于遗漏一处： 漏洞位置在学生成绩查询处的输入处 位置：SM2005/student/StuCJ/StuScoreQuery.asp?sYanzheng=suyaxingweb 注入参数：StartKSID 借用前人案例：...

某通用型校园系统多处系统越权

简要描述： 见详情 详细说明： 漏洞证明： 看乌云别人提交，看了下： 关键字：SM2005/ 多处越权： 第一处：无需登陆可查看任意教师，任意学期的班级课表 漏洞位置：SM2005/student/StuKB/TeaKB.asp?sYanzheng=suyaxingweb 案例如下： http://www.sdwhys.com/SM2005/student/StuKB/TeaKB.asp?sYanzheng=suyaxingweb http://www.zjnksyzx.com:8801/SM2005/student/StuKB/TeaKB.asp?sYanzheng=suyaxingw...

phpyun 某漏洞可导致被脱裤

简要描述： rt 详细说明： https://images.seebug.org/upload/201502/091901402eced8dfc9c75ab0fb6f29e24b27dc7a.png 用cmd跳到php云的/data/backup/目录 然后再输出 “dir /x”执行 可以看到短文件名 http://localhost/phpyun/data/backup/PHPYUN1.SQL PHPYUN此处数字递增.SQL 0-N 手工都可以找出来 漏洞证明： Windows short filenames...

齐博CMS多个产品依旧存在后门

简要描述： = =不知道是故意的还是忘了修复 详细说明： 后门同 WooYun: 齐博CMS整站系统最新版依然存在后门 后门存在于 博客系统 下载系统 考试系统 黄页系统 新闻媒体系统 图片系统 视频系统 知道系统 漏洞文件为inc/splitword.php CRC32 ：C6B4B212 文件采用威盾加密 解密后代码见：http://blog.99tk.cn/wp-content/uploads/2015/02/20150208-130909-585.txt 解密后在 101行发现后门 详情见漏洞证明 漏洞证明： 博客系统： 下载系统: 考试系统: 黄页系统 : img...

齐博CMS某处任意文件写入getshell（需要一定权限）

简要描述： 一个二次操作造成的任意文件写入。需要一定权限，自评为鸡肋。作为一个诚实的孩子，是怎样就怎样，我会把问题说的很清楚以避免误会哦 详细说明： 只拿整站做说明，下载最新版本。 /inc/function.inc.php 1507行 //自定义内容页文件名缓存生成 function getshowhtmltype global $db,$pre,$Fiddb; $query = $db-query"SELECT aid,htmlname FROM $prearticle WHERE htmlname!=''"; while$rs = $db-fetcharray$query...

KesionCMS某处存储型跨站可打cookie

简要描述： KesionCMS某处存储型跨站，可打cookie 详细说明： 官网demo演示。这个cms的xss比较多。其他的只能弹自己，所以就不发了。http://demo.kesion.com/user/weibo.asp xss出现在微博的评论处，首先我上soganame的账号发一条微博。 然后再评论处评论插入代码: 最后注册一个新账号去评论时会弹出cookie。 如果我去每一个人发表的微博下评论下都插入该条代码，打到的cookie应该会很多。 漏洞证明： xss出现在微博的评论处，首先我上soganame的账号发一条微博。 然后再评论处评论插入代码:...

tipask注入漏洞

简要描述： sql注入漏洞（2次注入） 详细说明： 官方最新源码测试 在control中answer.php中 追问模块---追问 / function onappend $this-load"message"; $qid = intval$this-get2 ? $this-get2 : intval$this-post'qid'; $aid = intval$this-get3 ? $this-get3 : intval$this-post'aid'; $question = $ENV'question'-get$qid; $answer = $ENV'answer'-get$aid...

ShopEx某处SQL注入（可猜测敏感信息）

简要描述： ShopEx sql注入 详细说明： 分析一下代码： ctl.cart.php: function updateCart$objType='g', $key='' $key = strreplace'@', '-', $key; $nQuantity = $POST'cartNum'$objType$key; switch$objType case 'f': $oCart-member'memberlvid' =$GLOBALS'runtime''memberlv'; $oCart-member'point' = $this-member'point'; break; cas...

tipask注入漏洞2

简要描述： 没有啥条件限制，如果说要gpc 、 全局变量条件限制的都不是好漏洞。 详细说明： 众测来打洞，然后白盒代码就读起来了。。。（0day http://ce.wooyun.org/content/7045 function onaddcomment if isset$this-post'content' $content = htmlspecialchars$this-post'content'; $answerid = intval$this-post'answerid'; $replyauthorid = intval$this-post'replyauthor';...

最新版Mao10CMS开源建站系统SQL注入一枚

简要描述： Mao10CMS V3.1.0下载 Mao10CMS是基于Thinkphp和Bootstrap开发的免费开源PHP建站系统，适用于搭建各种小型商城、购物分享、社区以及企业网站。当然，您也可以用它来做一个简单的博客 详细说明： 最新版Mao10CMS V3.1.0 免费开源PHP建站系统存在SQL注入 官网在这里：http://www.mao10.com/ 厂商：Mao10CMS开发团队 下载：http://www.mao10.com/article-66.html 下载--》安装--》默认配置--》直接黑盒测试：...

齐博博客系统高危漏洞集合(SQL+XSS)

简要描述： 该博客系统是一个类似博客大巴的公共博客平台 两个高危注入+一个可打管理员账号的xss 最新的blog 1.0 http://down.qibosoft.com/down.php?v=blog1.0 详细说明： http://localhost/qibo/bk/blog/member/postlog.php?job=postlog 注册成会员之后发布日志 注入一 问题代码\blog\member\postlog.php if$job=="postlog" if$step==2 if!$title showerr"标题不能为空"; elseif!$content...

某在线培训系统通用SQL注入漏洞

简要描述： 捡漏不易 详细说明： 捡漏一处： 该系统主要针对网上学习的。数据库里面包含有很多老师、学生的个人信息。 漏洞类型：SQL注入 危害度：高危 漏洞位置：WebOrg/UserRegist.aspx 参数：USERNAME 厂商：上海天柏信息科技有限公司 厂商网站：http://www.timber2005.com/ 漏洞证明： 关键字：inurl:webOrg 可自由构造 部分案例： http://webcourse.vixue.net/WebOrg/UserRegist.aspx http://www.gxkjks.com/WebOrg/UserRegist.aspx...

用友某子站SQL注入

简要描述： 子站存在几处post注入点及反射xss 详细说明： http://service.yonyou.com/AppWeb/XinWen/XinWen.aspx?Page=2&xinwenlxbh=&XinWenMC=1 http://service.yonyou.com/AppWeb/XinWen/XinWen.aspx?xinwenlxbh=XWLX20080328001 http://service.yonyou.com/AppWeb/XinWen/XinWen.aspx?xinwenlxbh=XWLX20071204001&XinWenMC=1...

华天动力储存型XSS盲打管理员两处（demo演示）

简要描述： 你可以看不惯我装逼，但不可以阻止我装逼 by:helen 详细说明： 大连华天软件有限公司是国内最早从事协同软件研发的企业之一，先后获得“最具创新价值协同软件厂商”、“中国软件影响力百强企业”、“推荐协同管理软件产品奖”、“协同软件五星级产品”等荣誉称号。华天动力在协同平台、工作流和智能报表三大核心技术上处于业内领先水平，是“智慧协同”的创造者，务实高质的代表者，为中国用户提供最先进、最好用的协同办公平台和解决方案，实现业务、办公、决策一体化管理。 官网：oa8000.com 先看一下案例吧：http://oa8000.com/solution.htm...

Discuz! 2.x/3.x 存储型Xss（有条件）

简要描述： rt 详细说明： https://images.seebug.org/upload/201502/021523367cd6409f549fceb69035f09c047ab777.png 文本模式编辑 不要推出文本模式 直接提交 查看此信息时弹出cookie 漏洞证明：...

某高校在用系统sql注入（7处打包）（DBA）（无需登录）

简要描述： RT 详细说明： Apabi论文授权提交系统 版权所有© 北京方正阿帕比技术有限公司 谷歌搜索：论文授权提交系统 北京大学复旦大学什么的都在其中 漏洞文件authorize.asp 里的txtStuName,txtStuNo,cboCollege,cboSubjectClass,txtMajor,inputStartDate,inputEndDate 随便来几个案例 202.116.50.25/tasi/admin/authorize/authorize.asp?action=querylist --data...

phpmps逻辑漏洞+存储xss demo测试成功

简要描述： demo站点测试成功 详细说明： 先注册一个账号 然后登陆 然后我们看到个人中心那 点击发布也是发布不了的 我们可以访问 http://www.phpmps.com/demo/postcom.php post提交 act=postok&catid=1&comname=a&areaid=1&phone=12&qq=12&[email protected] 就发布黄页成功了 本来发布不了的现在就可以绕过，发布成功了 这里存在逻辑漏洞 发布成功后 我们看下企业黄页这里 然后点击编辑 联系地址加入 alert/xss/ 点击确认后 https://...

PHPB2B某处漏洞直接查看mysql密码

简要描述： PHPB2B某处漏洞直接查看mysql密码 详细说明： PHPB2B某处漏洞直接查看mysql密码 官网下载的最新版 install/install.php 安装文件，查看下代码。 ?php / PHPB2B Copyright C 2007-2099, Ualink Inc. All Rights Reserved. The contents of this file are subject to the License; you may not use this file except in compliance with the License. @version...

53KF某处注入点

简要描述： 注入 详细说明： 注入点： http://www28.53kf.com/companyintro.php?arg=babyeyecom&styleid=103594706&language=cn 其中styleid参数存在注入 漏洞证明： 150多个表...

mcms最新版SQL注入三枚打包（可出任意数据）

简要描述： mcms最新版SQL注入三枚打包（可出任意数据） 详细说明： 在wooyun上看到掌易科技终于不再忽略漏洞了，我也来凑凑热闹吧。去下了mcms的最新版（v3.1.0.enterprise），来研究研究。 注入一枚：POST /app/message/?m=savemessage post中有本个参数，虽然都经过了xss和sql的过滤，但是过滤的并不完全，我们看看是如何注入的。 看看代码/app/message/index.php function msavemessage global $dbm,$C,$V; $POST=H::sqlxss$POST;...

Turbomail邮件系统部分版本存在xss

简要描述： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。 详细说明： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。做到长期控守。 测试网址：http://mail.xacg.gov.cn:8088/ 测试账号和密码可以私信讨要。 漏洞实现方式：打开写信，发送一封邮件，由于没有多余的账号测试故在这里自己给自己发一封测试信件，在收件人处写上原始代码，主题随意写，内容随意写完了点击发送。刷新收到信件，打开如图一： 可以看到没任何显示，此时点击"转发"按钮或者"回复"或者"回复所有"效果如图二： 弹框出现。...

某通用教育网站程序SQL注入漏洞

简要描述： 某通用教育网站程序SQL注入漏洞 详细说明： 使用量非常多 http://www.dlwsxx.com/ws2004/model/login1.asp http://www.fzjcxx.cn/ws2004/model/login1.asp http://www.nxyancgjzx.com/ws2004/model/login1.asp http://www.sgtjb.com/ws2004/model/login1.asp http://www.sdwhys.com/ws2004/model/login1.asp...

phpmps存储xss demo测试成功 (需点击)

简要描述： demo站点测试成功 详细说明： 漏洞主要源码 case 'updateinfo': $id = intval$POST'id'; checkInfoUser$id, trim$REQUEST'password'; $title = $POST'title' ? htmlspecialcharsdeeptrim$POST'title' : ''; $areaid = $POST'areaid' ? intval$POST'areaid' : ''; $enddate = !empty$POST'enddate' ? intval$POST'enddate'360024 +...

phpems设置缺陷直接添加管理员导致getshell

简要描述： phpems 默认uckey是1234567890 导致可以用uc的加密函数加密恶意代码带到sql语句中。 详细说明： if!defined'INUC' errorreporting0; setmagicquotesruntime0; defined'MAGICQUOTESGPC' || define'MAGICQUOTESGPC', getmagicquotesgpc; requireonce 'config.inc.php'; $DCACHE = $get = $post = array; $code = @$GET'code'; //code=加密代码...

53kf敏感信息泄露

简要描述： 53kf敏感信息泄露 详细说明： 53kf敏感信息泄露 http://www.53kf.com/log.txt 里面敏感信息 http://master.53kf.com/info.php 漏洞证明：...

汇文软件某系统默认配置不当（小问题可引发大问题，威胁诸多用户）

简要描述： 默认配置不当 详细说明： 汇文软件 汇文应用服务系统Java版 默认配置不当，提供的下载软件包内的某文件中存储了通用的用户名密码（可直接登录），可以使用此账号密码进行钓鱼等操作，威胁诸多用户 漏洞证明： 下载得到软件包，解压得到配置文件 打开配置文件，账号密码全泄漏，可直接登录 登陆成功 可能存在的威胁猜想： 1:由于此软件包提供公开下载，使用者服务器上的配置也使用了此配置文件，一旦此账号密码被修改，可导致使用者平台用户的密码找回等功能无法使用。 2:此账号中包含了一些使用用户的少量信息，可使用此账号向用户邮箱推送钓鱼信息导致用户被钓鱼。...

某政府系统#四处注入打包

简要描述： RT 详细说明： 山东农友软件公司官网:http://www.nongyou.com.cn/ 第一处: 案例如下: http://61.133.119.187:8091/ckq/pllistOut.aspx?tname=%E8%A5%BF%E8%8B%91%E5%8A%9E%E4%BA%8B%E5%A4%84&CountryName=%E8%92%BF%E6%B3%8A%E7%A4%BE%E5%8C%BA...

JPORTAL资源整合SQL注射漏洞

简要描述： JPORTAL资源整合SQL注射漏洞 详细说明： 突然发现大汉网络的JPORTAL资源整合系统在一般应用里面，SO... 我来了 文件路径： /pertoolsubsite/read/favoajaxforgen.jsp 部分代码为： else if"DO".equalsopr if !type.equals"11"||url.trim.length==0||paperTitle.trim.length==0 out.clear; out.print"false"; return; ArrayList list =...

ThinkSNS任意代码执行漏洞

简要描述： 代码执行漏洞 详细说明： 漏洞文件： /addons/widget/FeedListWidget/FeedlistWidget.class.php 漏洞函数： getData getData函数位于/addons/widget/FeedListWidget/FeedlistWidget.class.php 在第262行处调用renderFile函数进行渲染模版。 private function getData$var, $tpl = 'FeedList.html' $var'feedkey' = t$var'feedkey'; $var'cancomment' =...

某政府系统通用SQL注入漏洞一处

简要描述： RT 详细说明： 山东农友软件公司官网:http://www.nongyou.com.cn/ 案例如下: http://222.135.127.190:7000/Swgk/Default.aspx?st=1&deptid=52 http://221.2.171.59:8000/Swgk/Default.aspx?st=1&deptid=52 http://222.135.109.70:8100/Swgk/Default.aspx?st=1&deptid=52 http://61.133.119.187:8089/Swgk/Default.aspx?st=1&deptid=52...

某政府系统#在一处通用SQL注入漏洞

简要描述： RT 详细说明： 山东农友软件公司官网:http://www.nongyou.com.cn/ 案例如下： http://221.2.171.59:8000/rushanview.aspx?id=288&newsid=1299&deptid=55 http://222.135.127.190:7000/rushanview.aspx?id=288&newsid=1299&deptid=55 http://221.2.149.47:8100/rushanview.aspx?id=288&newsid=1299&deptid=55...

某政府系统一处通用SQL注入漏洞

简要描述： RT 详细说明： 山东农友软件公司官网:http://www.nongyou.com.cn/ 案例如下： http://222.135.109.70:8100/wendengview.aspx?deptid=54&atid=291 http://61.133.119.187:8089/wendengview.aspx?deptid=54&atid=291 http://222.135.127.190:7000/wendengview.aspx?deptid=54&atid=291...

ESPCMS V6 /interface/memebermain.php 登录绕过漏洞

No description provided by source...

ESPCMS 6.2 /interface/order.php SQL注入漏洞

No description provided by source...

shopex 接口设计问题导致某一类用户名密码重置

简要描述： shopex 接口设计问题导致某一类用户名密码重置 详细说明： 看到 shopex 有一个云登录机制，看代码: // 云登陆回调地址 function ecopenloginverify // 签名验证 $token = $this-system-getConf'certificate.token'; $GET'sign' && $this-getcesign$GET, $token == $GET'sign' || exit"签名错误，云登陆无法完成"; // 为登陆者创建账户 $accountMdl =...

Wordpress Cform2 14.7 文件上传漏洞

No description provided by source...

phpmps设计缺陷导致CSRF(全站功能通杀)

简要描述： phpmps设计缺陷导致CSRF全站功能通杀 详细说明： phpmps防御xss和sql还是很好的，但是却忽略了csrf 请求没有token，没有验证referer。可以请求伪造。 所以是全站通杀！ 还是给几个案例吧 案例1：修改管理员密码 case 'repass': ifempty$REQUESTpasswordshow"请输入密码"; ifempty$REQUESTrepassword$msg .= "请输入重复密码\n"; if$REQUESTpassword $REQUESTrepasswordshow"两次输入的密码不一致"; $password =...

某监管系统一处SQL注入

简要描述： RT 详细说明： 山东农友软件公司官网:http://www.nongyou.com.cn/ 案例如下: http://221.2.156.181:8100/jubao/ProblemsWarning.aspx?pid=1 http://221.2.171.59:8000/jubao/ProblemsWarning.aspx?pid=1 http://222.135.76.147:8100/jubao/ProblemsWarning.aspx?pid=1 http://222.135.109.70:8100/jubao/SProblemsWarning.aspx?pid=1...

Metinfo v5.2 /include/thumb.php 信息泄露漏洞

No description provided by source...

Metinfo V5.2 /job/job.php SQL注入漏洞

该问题出现在/job/job.php中，对于全局变量$mobilesql审查没有进行过滤和转义，导致该全局变量可以被覆盖，导致SQL注入的发生，下面来看看漏形成的原因。 首先全局变量被定义在methtml.inc.php中，在job.php的require方法中可以看到。 requireonce '../public/php/methtml.inc.php'; 在methtml.inc.php中可以看到对全局变量的定义，第723行的methtmlgetarray方法中 global...

用友NC综合办公系统前台再次SQL注入

简要描述： RT 详细说明： 用友NC综合办公系统SQL注入漏洞，可同时影响多个办公系统HR资源管理系统、UFO报表系统等的数据库 注入链接：/epp/detail/publishinfomore.jsp?pkinfotype= 注入参数：pkinfotype 必须先访问/epp/index.jsp后产生cookie才能进行SQL注入 漏洞证明： 测试案例： http://nc.xhlbdc.com 访问首页产生cookie： http://nc.xhlbdc.com/epp/index.jsp...