cmseasy 修复不当前台无需登录union注射（php缺陷绕过）

简要描述： cmseasy 修复不当前台无需登录union注射 详细说明： 下载最新版本的cmseasy， 文件大小：9.83 MB 更新日期：2015-01-21 推荐配置：Mysql5.0 + PHP 5.0 看看这里的修复方案： archive.php: elseif intvalfront::get'aid' $this-view-archive = archive::getInstance-getrowfront::get'aid'; $this-view-categorys =...

U-Mail邮件系统任意用户登录漏洞

简要描述： 不多说了，这邮件系统问题简直太多，真揪心 详细说明： 漏洞文件 /fast/option/module/opassword.php代码 if ACTION == "question" $url = "/webmail/fast/option/index.php?module=view&action=password"; $where = "UserID='".$userid."'"; $data = array "question" = gss $POST'question' , "answer" = gss $POST'answer' ; $result =...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用5个案例来测试。 注入链接是： depLayerListDir.jsp?departmentid= 案例： http://zwgk.wangqing.gov.cn/zwdtSjgl/Directory/depLayerListDir.jsp?departmentid=DE200809231048070703&departmentname=乡镇（街道）政府&departmentType=0&isFirstShow=...

LebiShop商城系统最新版任意用户登陆

简要描述： LebiShop商城系统最新版任意用户登陆 详细说明： LebiShop商城系统最新版Powered by LebiShop V3.1.01，存在任意用户登陆 官方demo测试 http://plus.demo.lebi.cn/——可注册普通用户和商家用户 http://demo.lebi.cn/——可注册普通用户 我们使用http://plus.demo.lebi.cn/进行测试 首先我们注册一个普通用户222222，并登陆 注意这里的COOKIE中user的值，id=37，这里是用户222222的用户userid...

Iwebshop最新版二次注入一枚

简要描述： Iwebshop最新版二次注入一枚 详细说明： 看到wooyun上有人提了几个iweshop（2014-11-18更新）的漏洞（ WooYun: iWebShop开源电子商务系统SQL注入漏洞 ），去官网看了看，在2014-12-16 已更新到了 iwebshop2.9.14121000，下下来研究研究，希望不要重复。 写入Payload的点：POST /index.php?controller=seller&action=goodsupdate POST参数中的img 触发注入的点：POST...

FineCMS轻量版csrf漏洞后台添加管理+任意挂黑页

简要描述： FineCMS轻量版csrf漏洞后台添加管理+任意挂黑页 详细说明： 又一个cms的csrf漏洞，没有任何token验证 漏洞证明： 1、后台，管理员，添加 2、抓包截断 没有验证 3、构造表单 4、挂黑页，他有一个模版，里面可以添加修改html文件 截断一下，看也是可以csrf的 img src="https://images.seebug.org/upload/201501/21100205e8d7713cf6b1d8086e7f8660c7201da6...

LebiShop商城系统最新版漏洞大礼包

简要描述： LebiShop商城系统最新版漏洞大礼包，包括任意用户密码修改，密码重置，某接口直接拖库等 详细说明： LebiShop商城系统最新版漏洞大礼包 第一个任意用户密码修改 在修改用户登陆密码和支付密码是都没有验证原始密码 在发送修改密码请求时，只需要遍历COOKIE中的userid即可修改全部用户密码 shop.ajax.ajaxuserin文件中的setpassword方法 // Shop.Ajax.Ajaxuserin public void SetPassword string PWD = RequestTool.RequestString"Password"; PWD ...

MoMoCMS_v3.1重装系统

简要描述： MoMoCMSv3.1重装系统 详细说明： MoMoCMSv3.1企业建站系统 Install/index.php里没有进行判断lock，你们能判断一下lock吗？ 在install/index.php None 以上的都可以进行重装系统 http://www.xinhansy.com/install/ http://www.dinghuiex.com/install/ http://www.jincangyuan.com/install/ http://www.52yuliao.com/install/ http://ddgg.info/install/...

PHPYUN 再次绕过 十几处存储型xss轻松打后台

简要描述： 20150119 详细说明： 之前提交了一次定位xss，随后前几周有一个绕过，发在了补天平台，这次更新又看了一下。 先给一个上一版本的payload。因为removeXSS函数中只对不超过8个0的html编码进行检测，所以我们通过用8个以上0来绕过检测： 20150119版修复的时候对data/db.safety.php中对commonhtmlspecialchars函数和gpc2sql函数做了修改： 先看commonhtmlspecialchars： 左边是1231版，右边是0119版，可以看到gpc2sql提前了，看看gpc2sql做了什么修改呢：...

KPPW最新版本(Csrf删除任意帐号/添加管理员)

简要描述： 求高Rank 么么哒 详细说明： http://localhost/KPPW/index.php?do=user&view=message&op=send http://localhost/KPPW/index.php?do=pubtask&id=1&step=step2 收件人填目标用户名 标题随便 内容没有转义 不过过滤了敏感标签和 onerror onload等事件。 先来看第一个删除任意帐号 http://localhost/KPPW/admin/index.php?do=user&view=list&op=del&edituid=5529 GET提交此URL...

LebiShop商城系统最新版多处SQL注入七

简要描述： LebiShop商城系统最新版多处SQL注入七 详细说明： LebiShop商城系统最新版多处SQL注入 这里也是需要有商家账号权限 首先注册普通用户账户，然后申请注册商家账户 申请商家用户是默认开发注册的 第一个地方我们来看：Shop.Supplier.Ajax.ajaxorder文件 下面依次列举出存在SQL注入的方法 BankDel方法 // Shop.Supplier.Ajax.ajaxorder public void BankDel if !base.Power"supplierbanklist", "付款账号" base.AjaxNoPower; return;...

LebiShop商城系统最新版设计缺陷及XSS盲打后台

简要描述： LebiShop商城系统最新版设计缺陷及XSS盲打后台 详细说明： LebiShop商城系统最新版验证码存在设计缺陷可无视验证码，及存储型XSS盲打后台 验证码设计缺陷： LebiShop商城系统有两者验证码验证方式 1、直接判断POST提交的验证码已经COOKIE中的验证码是否相等 如前台普通用户登陆时 // Shop.Ajax.Ajaxuser public void UserLogin string verifycode = RequestTool.RequestString"verifycode"; string code =...

帝友p2p新业务目录遍历

简要描述： 我本来在找葫芦娃动画片的，谁知道你们的广告弹出来了，没办法。 详细说明： 0x00 说明 帝友p2p（http://www.dyp2p.com）的新业务，帝友云（http://www.diyou.cn） 0x01 思路 一般新业务上线，都会有些许遗漏的地方。假如是加急上线，那么更容易粗心了，这也是人之常情。 所以看到帝友有新的业务上线，我赶紧来瞅瞅我水平不高，只能找这些篓子。 虽说官方搞了个什么口令，大门上了道锁，但是菊花难免不保的时候啊。 0x02 套路 我一般都是按照套路出牌的一边上扫描器，一边人工找篓子。 这不，有了防火墙，忒凶。扫描器都范二了...

用友人力资源系统通用SQL注入

简要描述： 用友人力资源系统通用SQL注入 很多大型的企业中招 详细说明： 如中国海洋石油总公司、顺德农商银行、湖北能源集团股份有限公司、华信信托股份有限公司等 漏洞出现在上传的页面： burpsuite抓包保存为post.txt： POST /hrss/attach.upload.d?appName=PSNBASDOCRM&pkAttach=0001V11000000001NLAX HTTP/1.1 Accept: text/html, application/xhtml+xml, / Referer:...

Discuz Plugin JiangHu 1.1 /forummission.php SQL注入漏洞

No description provided by source...

LebiShop商城系统最新版十一处SQL注入六

简要描述： LebiShop商城系统最新版十一处SQL注入六 详细说明： LebiShop商城系统最新版十一处SQL注入 这里也是需要有商家账号权限 首先注册普通用户账户，然后申请注册商家账户 申请商家用户是默认开发注册的 Shop.Supplier.Ajax.ajaxconfig文件 第一处SQL注入 // Shop.Supplier.Ajax.ajaxconfig public void BankDel if !base.Power"supplierbanklist", "收款账号" base.AjaxNoPower; return; string id =...

LebiShop商城系统最新版SQL注入五

简要描述： LebiShop商城系统最新版SQL注入五 详细说明： LebiShop商城系统最新版SQL注入一处 文件Shop.supplier.Ajax.Ajaxproduct // Shop.supplier.Ajax.Ajaxproduct public void ProductBatchPriceUpdate if !base.Power"supplierproductbatchprice", "批量调价" base.AjaxNoPower; return; string step = RequestTool.RequestString"step"; string dateFro...

LebiShop商城系统最新版九处SQL注入四

简要描述： LebiShop商城系统最新版九处SQL注入四 详细说明： LebiShop商城系统最新版九处SQL注入 因为这里是在商家模块，所以官方demo演示地址为： http://plus.demo.lebi.cn 注册并登陆普通用户后，才有申请注册商家用户的功能，这里的商家注册功能是默认开发注册的 所以我们注册普通用户shoptest，然后申请注册商家用户即可 此时shoptest用户及时普通用户也是商家用户 下面来看看申请注册商家用户后的SQL注入漏洞 第一处SQL注入漏洞 Shop.supplier.ajax目录下的ajaxproduct.aspx文件 首先看看AskDel方法...

华天动力储存XSS（11处打包，非self-xss）

简要描述： 缺个移动硬盘存片子 详细说明： 上次提交说是self-xss，为了证明不是self-xss，这次打一下管理cookie吧 demo演示，涉及大量政府，医院，房产，电视台等网站：http://www.oa8000.com/solution.htm 首先还是来到官网，看到demo演示地址：http://demo.oa8000.com 然后先用官方提供的普通用户登录 存在XSS的地方在：客户管理--我的客户--新建...

LebiShop商城系统最新版两处SQL注入二

简要描述： LebiShop商城系统最新版两处SQL注入二 详细说明： LebiShop商城系统最新版两处SQL注入 第一处SQL注入 /ajax/ajaxuser.aspx 对应反编译后的文件shop.ajax.ajaxuser.UserProductEdit方法 // Shop.Ajax.Ajaxuser public void UserProductEdit int t = RequestTool.RequestInt"type", 141; int num = RequestTool.RequestInt"num", 1; int pid =...

YXcms建站系统最新版储存XSS盲打后台（demo+本地演示）

简要描述： 缺个移动硬盘存片子 详细说明： 上次提交说是self-xss没给过，为了证明不是self-xss，这次盲打后台一下吧 demo演示 首先来到YXCMS的demo站点http://demo.yxcms.net 然后注册个账号，在邮箱那里直接插入"/ 可以看到没有任何过滤，直接提示信息编辑成功 返回后直接弹窗 上次截止到这里就停了，并没有看能不能打后台，因为他这个demo是不提供后台演示的（可能怕被后台拿shell吧，哈哈 https://images.seebug.org/upload/201501/20104758ae72a78e0...

Discuz 7.x /include/global.func.php 跨站脚本漏洞

No description provided by source...

LebiShop商城系统最新版六处SQL注入三

简要描述： LebiShop商城系统官方下载最新版六处SQL注入，demo演示 详细说明： LebiShop商城系统官方下载最新版六处SQL注入，demo演示 第一处SQL注入 // Shop.Ajax.Ajaxuserin public void CommentDel if this.CurrentUser.id 0 string id = RequestTool.RequestString"ids"; if id == "" base.Response.Write""msg":"" + base.Tag"请选择要删除的信息" + """; return;...

Discuz X2.5 /source/class/class_image.php 命令执行漏洞

/source/module/aforum/forumimage.php $nocache = !empty$GET'nocache' ? : ; $daid = intval$GET'aid'; $type = !empty$GET'type' ? $GET'type' : 'fixwr'; list$w, $h = explode'x', $GET'size'; $dw = intval$w; $dh = intval$h; $thumbfile = 'image/'.$daid.''.$dw.''.$dh.'.jpg'; $parse =...

phpdisk Z-core网赚版子程序过滤不严，导致可删除文件.

简要描述： phpdisk Z-core网赚版下载子程序sub过滤不严，导致可删除任意文件. 详细说明： 我们先来看子程序中phpdiskdelprocess.php这个文件相关代码。 parsestrpdencode$str,'DECODE'; 这里直接把传进来的值，解析到变量中了。但是被加密了，看似不可利用，其实不然。我们再来看dl.php。这个是最后下载页。 parsestrpdencodebase64decoderawurldecode$str,'DECODE';...

MyBB 1.8.1 /report.php 跨站脚本漏洞

No description provided by source. !/usr/bin/env python coding: utf-8 import re from pocsuite.net import req from pocsuite.poc import POCBase, Output from pocsuite.utils import register This poc requires a valid username and it's password to work Users can register one manually. class...

LebiShop商城系统最新版SQL注入一(同一文件多处)

简要描述： LebiShop商城系统最新版SQL注入一，同一文件多处，官方demo演示 详细说明： LebiShop商城系统最新版V3.1.00，多处存在SQL注入漏洞，可拖库 更多案例： 使用关键字搜索：powered by LebiShop 可搜索大量使用用户 反编译/bin/shop.dll，在SHop.Ajax中的Ajaxorder文件中存在多处SQL注入漏洞 SHop.Ajax.Ajaxorder即根目录下的Ajax目录，Ajaxorder文件 第一处SQL注入 我们来看看Ajaxorder文件中的AddressDel方法： // Shop.Ajax.Ajaxorder...

MyBB 1.8.1 /admin/modules/config/language.php 跨站脚本漏洞

No description provided by source. !/usr/bin/env python coding: utf-8 import re from pocsuite.net import req from pocsuite.poc import POCBase, Output from pocsuite.utils import register This poc requires a valid credentialcookie to the ACPAdmin Control Panel to work. class TestPOCPOCBase: vulID =...

U-Mail邮件系统二次注入2（无需登录，可批量直接获取管理员密码）

简要描述： 声明:不是故意刷漏洞，只是每天打完LOL后分析下，找到一个提交一个，见谅。我卡牌玩的还是很6的。: 详细说明： 漏洞文件/fast/oab/module/operates.php代码 与上一个二次注入缺陷原理都一样，这次是另一个文件，是无需登录的 if ACTION == "save-to-pab" includeonce LIBPATH."PAB.php" ; $PAB = PAB::getinstance ; $maillistid = trim $GET'maillist' ; if $maillistid ...... else $userids = trim...

U-Mail邮件系统二次注入（不鸡肋，可直接获取管理员密码）

简要描述： U-Mail别哭。另外wooyun-2010-093049更新了无需登录且可批量getshell的exp，随便测试了下，批量轻轻松松get几百个shell，很严重，望管理速审核 : 详细说明： 漏洞文件 /client/oabshare/module/operates.php 代码 if ACTION == "save-to-pab" includeonce LIBPATH."PAB.php" ; $PAB = PAB::getinstance ; $maillistid = gss $GET'maillist' ; $maillistid = intval...

U-Mail邮件系统一处接口漏洞（可sql注入，任意用户登陆，获取管理员密码）

简要描述： 用户量这么多的邮件系统，分分钟钟就被getshell是件很令人头疼的事情。 详细说明： 1.邮件系统介绍 1）官方下载地址：http://www.comingchina.com/html/downloads/ 2）版本：最新版V9.8.57 3）测试环境：Windows Server 2003+IIS6.0+官方默认软件 4）使用案例：http://www.comingchina.com/html/case/ OR Google "Powered by U-Mail" 漏洞代码 附600多url下载 链接: http://pan.baidu.com/s/1nQRzo 密码:...

eYou邮件系统邮件正文存储型XSS（HTML5特性并需点击）

简要描述： eyou邮件系统邮箱多为政府和学校使用，经测试存在xss。 详细说明： 由于eyou版本号不同，下面测试代码的效果也有细微区别，但是存在漏洞原因相同。 测试代码： 发送后打开，效果如图： 某党政机关邮箱： 某院校邮箱： 漏洞证明： 由于eyou版本号不同，下面测试代码的效果也有细微区别，但是存在漏洞原因相同。 测试代码： 发送后打开，效果如图： 某党政机关邮箱：...

TurboMail邮件系统正文存储型XSS

简要描述： 回复\转发触发 转发后的邮件点击触发 详细说明： chrome进入36时代以后，多了一种引入外部HTML的方法： twitter上MK很早就通过这个方法bypass了当时的chrome audit：https://twitter.com/avlidienbrunn/status/486059626002395136，但实际上这个方法的危害不止于此，大部分基于黑名单的富文本过滤器是没有考虑这个方式的XSS的，通过这个就能简单构造一个XSS。 首先准备一个外部HTML：http://mhz.pw/game/SOP/01.php alertlocation.host;...

深澜软件命令执行漏洞过滤绕过

简要描述： Srun3000计费系统命令执行绕过，是绕过，跟之前他们的命令执行不重复啊，真的不重复啊 详细说明： 之前 WooYun: Srun3000计费系统漏洞集合 这个里边好多命令执行，后来官方修复了，下边是过滤代码 function filter$str $str=trim$str; //$str=strreplace" ", " ", $str; $str=strreplace"'", "‘", $str; $str=strreplace"%", "", $str; $str=strreplace"&", "", $str; $str=strreplace"|", "",...

TurboMail邮件系统正文存储型XSS

简要描述： 回复转发触发 详细说明： chrome进入36时代以后，多了一种引入外部HTML的方法： twitter上MK很早就通过这个方法bypass了当时的chrome audit：https://twitter.com/avlidienbrunn/status/486059626002395136，但实际上这个方法的危害不止于此，大部分基于黑名单的富文本过滤器是没有考虑这个方式的XSS的，通过这个就能简单构造一个XSS。 首先准备一个外部HTML：http://mhz.pw/game/SOP/01.php alertlocation.host;...

ShopEx某zabbix节点弱口令，导致命令执行(可入内网)

简要描述： 国内少见，还在坚持使用zabbix node做为分布式监控。 详细说明： 1 站点：http://202.108.13.148/ 默认账号：admin 默认口令：zabbix 2 使用node节点模式，建立一个层次结构的分布式监控。每一个节点是一个完整的zabbix服务器，和负责监视它自己的位置，zabbx支持高达一千个节点的分布式安装。 使用node节点的好处： 1、在大型的网络中，涉及多个地点建立一个多层次的监控，在层次结构中的节点会将监控的数据传输给其主节点。 2、一个节点可以在本地配置或通过拥有所有节点配置的主节点配置。...

Mao10CMS v3.1.0存储型xss

简要描述： rt 详细说明： 在发布文章处，插入xss代码 然后查看文章，直接执行了插入的js代码 在测试demo的时候被阿里云的防护拦截了 漏洞证明：...

53kf某处root权限SQL注入

简要描述： 53kf某处root权限SQL注入 详细说明： 漏洞url为http://www5.53kf.com/iframebrief.php?styleid=106000198&language=cn 问题参数为styleid,数字型注入，支持union查询 看看可以loadfile，以下是存在注入的这个php文件源码 assign"notes", $notes; $tpl-display"iframebrief.htm"; // 接收$GET的值 function getvalue$getname, $re="" ifisset$GET$getname &&...

大汉网络任意文件下载漏洞

简要描述： 大汉网络任意文件下载 详细说明： 下载漏洞： \vc\vc\columncount\downfile.jsp 演示： http://www.sinoagent.com/vc/vc/columncount/downfile.jsp?savename=a.txt&filename=../../../../../../../../etc/passwd 漏洞证明： 案例： http://qzlx.jsjzi.edu.cn/vc/vc/columncount/downfile.jsp...

53kf任意文件遍历漏洞

简要描述： 听说你们很给力啊，先试试水。 详细说明： 存在漏洞的地址为： http://www.53kf.com/?controller=..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd%00login 漏洞证明： 成功猜到了nginx的配置文件，如下： 得到了网站根路径，读个robots.txt试试看 那么是不是可以代码审计了呢...

博云非书论文管理系统存在通用型SQL注入

简要描述： 论文管理系统存在通用型SQL注入 详细说明： 注入点：dbid和docid 搜索关键字：inurl:/docinfo.action?dbid= http://202.195.136.150/docinfo.action?dbid=72&docid=40824 http://202.199.163.37/docinfo.action?dbid=72&docid=40619 http://paper.buaalib.com/docinfo.action?dbid=72&docid=5793...

ASPCMS最新版V2.5.6权限提升漏洞

简要描述： ASPCMS最新版V2.5.6存在权限提升漏洞，注册普通用户的时候可以直接注册成超级管理员。 详细说明： ASPCMS最新版V2.5.6下载地址： http://www.aspcms.com/aspcms-2179839-1-1.html 该版本存在insert注入，在注册用户的时候没有判断性别参数Gender是否为数字，插入数据库的时候没有用引号引起来，导致过滤函数不起作用。利用Access 16%截断技巧注释掉后面的语句，可以直接注册GroupID为1的超级管理员组用户。 /member/reg.asp Sub addUser 'dim...

某校园管理系统漏洞打包

简要描述： 漏洞打包 详细说明： 百度搜索：inurl:ws2004 技术支持：南京苏亚星资讯科技开发有限公司 这里打包吧，不再一一提交。 ---------------- 0x01: SQL注入漏洞 漏洞页面：ws2004/SysManage/Research/DiaoChaZhuTi/add.asp?ID= 漏洞参数：ID 漏洞证明： 1 http://www.sdwhys.com/ws2004/SysManage/Research/DiaoChaZhuTi/add.asp?ID=48 2...

ShopEx某两台服务器任意文件读取

简要描述： 偷师学艺 详细说明： 漏洞证明： http://122.144.135.187:8888/../../../../../../../../../../../../../../../../../etc/shadow http://121.196.44.117:8888/../../../../../../../../../../../../../../../../../etc/shadow...

博云非书资料管理系统存在通用型SQL注入

简要描述： 某非书资料管理系统存在通用型SQL注入 详细说明： 注入点ISBN http://202.206.242.26:88/poweb/requestiso.do?status=insert&METAID=7578&PropertyID=&ISBN=7-112-06320-5&SSH= http://202.197.107.11:8080/poweb/requestiso.do?status=insert&METAID=7578&PropertyID=&ISBN=7-112-06320-5&SSH=...

53KF /admin/ShowPersonHzList.aspx SQL注入漏洞

No description provided by source...

Empirebak /class/functions.php 代码执行漏洞

No description provided by source...

拓尔思某系统越权操作大集合及GETSHELL

简要描述： 老版本 和 二次开发的貌似部分不受影响... 安全无止境！ 详细说明： / 说明： Copyright ©2004 - 2006 TRS 不受影响 Copyright ©2004 - 2008 TRS 不受影响 以及部分二次开发的不受影响 -------------------------------------- 越权可查看用户信息，几个案例用户加加都有上百万了 / 程序名称：TRS身份服务器单点登录系统 漏洞类型：越权操作 & 任意文件上传GETSHELL 漏洞文件： 越权操作的（多少个点我也没数，反正就那么多）：...

eYou邮件系统邮件正文存储型XSS

简要描述： 找到一个可绕过的存储型XSS方法 详细说明： 依据北京理工大学eYou邮件系统测试， http://wooyun.org/bugs/wooyun-2010-066645 这个帖子中的XSS向量已经全部无效。 经过测试，依然有可以绕过的XSS脚本 漏洞证明： 1.一个按钮 tte 2.直接 prompt1te 提交 弹窗...

phpok csrf成功getshell(二)

简要描述： 前台注册一个帐号，上传zip文件，csrf后台升级（升级文件为上传的zip）,成功getshell 对升级文件没进行校验。 详细说明： 版本：4.2.100 前台能上传zip文件，而且对升级文件没进行校验。 上传zip演示： 先把我们的木马文件test.php添加到压缩包内test.zip 注册一个帐号-修改资料. 选择一个正常图片，截获数据 然后修改数据。 成功上传zip文件。记录下文件id号。我们这里是739 在 程序升级 » ZIP离线包升级 中的升级操作没有进行Referer验证。导致csrf产生 None 管理员只要访问我们事先准备好的poc。 就能getshell...