释锐教育校校用平台通用SQL注入漏洞

简要描述： 释锐教育校校用平台通用SQL注入漏洞 详细说明： 问题出现在infolist.jsp文件 String categoryId = Util.dealNullrequest.getParameter"categoryId"; ifcategoryId.indexOf"08"==0//特殊网站，特殊处理 response.sendRedirectrequest.getContextPath+"/newszt/newslist.jsp?categoryId="+categoryId; String keywords =...

PHPOK过滤不当存在储存型xss漏洞

简要描述： 论坛bbs发帖那里。 版本：phpok4.2.100 详细说明： init.php function safehtml$info if!$info return false; $tmp = "//isU"; $info = pregreplace$tmp,"",$info; //$info = pregreplace"//isU","",$info; $tmp = array"//isU","//isU","//isU","//isU","//isU","//isU","//isU","//isU"; $info = pregreplace$tmp,'',$info;...

phpyun某处SQL注入漏洞含POC

简要描述： 20141231 详细说明： phpyun使用了360和一个自身的防护脚本 我们来看看过滤情况 这都是我们常用查询语句。出现这些语句就会结束，以及替换。 不过这里有个安全隐患就是 sysafekey安装默认为7854222ffdss 这样会导致POST无过滤。 好了我们继续。 =============================================== \wap\member\model\index.class.php：200：addresumeaction函数 带入POST 表的一部分我们可控，这样我们能用0x来绕过防护脚本。继续看mysql数据操作...

信游科技储存XSS4发（挖2送2）

简要描述： 缺个移动硬盘 详细说明： http://www.wooyun.org/bugs/wooyun-2015-091845/trace/0e184aac8bde91257f9c2e657e33692f 说是不够完整，确实不够完整，因为之前用爬虫爬的IP被封了，没有料到，那几张图是没被封IP截的，被封后不能截图了，这次来个完整的吧 http://test.52xinyou.cn/这个地址是信游科技提供的专门的测试漏洞的子站 来到以后先随便注册个账号，然后点击玩家论坛 到了以后随便找个板块点击进去 然后点击发帖 标题和内容插入"/ 提交后返回查看并没有触发XSS。。安全果然做的够到位！...

phpok csrf添加管理员+后台getshell

简要描述： 版本：4.2.100 看到厂商以前忽略过一个csrf。 CSRF风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点，进而进行用户不愿做的行为。 详细说明： 老问题,一直没修复。 poc: None 然后在编辑文件写入一句话木马就OK了。 文件目录 /tpl/www/ 漏洞证明：...

云锁本地权限提升漏洞

简要描述： 多个因素导致本地权限提升 详细说明： 0x00 环境： 1.apache+云锁； 2.绕过云锁检查的大马DarkShell.php 0x01 实战： 首先，大马DarkShell.php连上后，由于是apache账户，权限较低 然后我发现了云锁的更新程序： 我将添加账户的useradd.exe改为YSUpdate.exe，而YSUpdate.exe是以管理员身份运行的 远程端的管理员打开云锁后发现提示更新，这时用户信息如下： 当管理员点击确定后，这时发现添加了账户test 漏洞证明： 0x00 环境： 1.apache+云锁； 2.绕过云锁检查的大马DarkShell.php...

Mao10CMS可直接重装

简要描述： rt 详细说明： 下载源码之后，搭建完该cms之后。发现install.php文件还在。 errorreporting0; header"Content-Type: text/html; charset=utf-8"; $siteurl = "http://".$SERVER"HTTPHOST".$SERVER'PHPSELF'; $siteurl = pregreplace"//a-z0-9+.php./is", "", $siteurl; if$POST'dbhost' && $POST'dbname' && $POST'dbuser' &&...

cmseay存储型跨站xss

简要描述： 绕过防护 详细说明： /bbs/ajax.php 19行 $data'username' = isset$COOKIE'username' ? $COOKIE'username' : ''; 无过滤。。 漏洞证明： ./bbs/360safe.php $cookiefilter = "\band|or\b.1,6?=|| 回复之后...

ThinkSAAS 2.3 SQL注入

简要描述： ThinkSAAS 2.3 SQL注入 详细说明： app/group/action/add.php 172-197行 // 处理@用户名 if pregmatchall '/@/', $content, $at echo $content; pregmatchall "/@.+?\s|:|$/is", $content, $matches ; $unames = $matches 1; $ns = "'" . implode "','", $unames . "'"; $csql = "username IN$ns"; if $unames $query =...

phpshe 最新版 sql注入。

简要描述： rt 详细说明： /include/plugin/payway/alipay/notifyurldb.php $alipayNotify = new AlipayNotify$alipayconfig; $verifyresult = $alipayNotify-verifyNotify; //验证成功 if $verifyresult //商户订单号 $outtradeno = $POST'outtradeno'; //支付宝交易号 $tradeno = $POST'tradeno'; $info = $db-peselect'order',...

大汉网络某系统SQL注入漏洞

简要描述： SQL注入，遍历全部系统数据库。JCMS JIS 等。 详细说明： SQL注入: /vc/vc/interface/index/questylecoltop.jsp 代码分析： String strWebId = Convert.getParameterrequest, "webid".trim;//webid没有过滤 String strColumnId = Convert.getParameterrequest, "colid".trim; String strWebSiteUrl = ""; .... .... //获取栏目排行数据 if strMsg == null...

某政府在用系统#通用SQL注入

简要描述： 影响案例很大,转应急中心把 详细说明： 案例如下： http://117.40.186.185:8008/outportal/transactlist/searchtransactlist.jsp?applysubject= http://wssp.jdz.gov.cn/outportal/transactlist/searchtransactlist.jsp?applysubject= http://xzsp.jxgc.gov.cn/outportal/transactlist/searchtransactlist.jsp?applysubject=...

LebiShop系统sql注入

简要描述： 官网 http://www.lebi.cn/ demo站点 http://demo.lebi.cn/ 详细说明： 用google搜索 关键词 intext:Powered by LebiShop 或者google搜索关键词 Powered by LebiShop inurl:Category.aspx 部分案例 http://168dev.com/lebishop/Category.aspx http://oa.psy123.com.cn/AllCategories.aspx http://www.huacaiye.com/Category.aspx?tid=1...

嘉缘人才系统SQL注入漏洞

简要描述： RT 详细说明： 在common/comment.php中 requiredirnameFILE.'/../config.inc.php'; !isset$db&&$db=connectdb; requireonceFRROOT.'/inc/paylog.inc.php'; if!$cfg'comment'=='1'echo "alert'本站未开启评论功能！';window.close;";exit; $submit=isset$POST'Submit'?$POST'Submit':''; if$submit if$cfg'comment' if$anonymous...

用友某订单系统POST Oracle注入(疑似通用)

简要描述： 涉及订单就不深入了，但是危害自己知道，如果黑客进去了，就不好办了，故rank为高 详细说明： 有两个问题站点：http://ufbg-ss02.yonyou.com/Login/login.aspx?ReturnUrl=%2flogin.aspx http://desktop.yonyou.com/Login/login.aspx?ReturnUrl=%2flogin.aspx 按照页面上的英文来说，应该是订单系统，涉及订单就不深入了，但是危害自己知道，如果黑客进去了，就不好办了 列出了Oracle用户密码 db： CTXSYS HR MDSYS ODM ODMMTR OE...

YXcmsApp v1.2.7 暴力sql注入。

简要描述： rt 详细说明： YXcmsApp 的cookie的加密用的都是dz的那个函数， 看看密钥是怎么来的 protected/apps/install/controller/indexController.php $this-randomcode= substrmd5time, 0, 6; 唔。才6位，那么就很好破解了，poc见测试代码 注册用户，抓包获取cookie yxaut的值， 利用poc得到key后，我们就能根据他的加密函数控制cookie了。 function cpencode$data,$key='',$expire = 0...

phpok 最新版储存型xss。

简要描述： rt 详细说明： 看到出了论坛这个新功能 xss过滤还是不够哦。 两处问题。 发布帖子处， 1 正则貌似有问题。 换行就绕过了对 onxxx的检测。 2 测试代码 漏洞证明：...

DzzOffice 1.2.2 /index.php 本地文件包含漏洞

Index.php$dzz = C::app; $mod = getgpc'mod'; $mod = !empty$mod ? $mod : ''; $op = !empty$GET'op' ? $GET'op' : 'index'; $cachelist = array; $dzz-cachelist = $cachelist; $dzz-init; //调用各自的模块 ifempty$mod if$G'uid'1 && $G'setting''loginset''available' @header"Location: user.php?mod=logging"; exit;...

dedecms v5.1 /tag.php SQL注入漏洞

No description provided by source...

DedeCms 5.1 /plus/infosearch.php SQL注入漏洞

No description provided by source...

DEDECMS 5.1 /plus/feedback_js.php SQL注入漏洞

No description provided by source...

用友香港官网存在注入导致帐号密码泄漏

简要描述： 注入点：www.yonyou.com.hk/new/downloadview.php?uid=4 详细说明： 2.数据库：db1007112ufida中39个表 Database: db1007112ufida 39 tables +-------------------------+ | adminlog | | adpic | | appcat | | appcompany | | appfile | | appfileImage | | appfileItem | | applog | | applogin | | apppartner | | appstaff | |...

Mao10CMS v3.0.2 储存型xss

简要描述： rt 详细说明： 过滤不严。 以官网为例。 社区发布新话题 成功加载了js 地址 http://www.mao10.com/post-1772.html 然后用户的cookie就来了。。。 漏洞证明：...

mcms v3.1.0 sql注入+任意文件读取。

简要描述： rt。打包 详细说明： app/weixin/notify.php $wx=new weixin; if$wx-checksignature //用于更改通知地址 ifisset$GET"echostr" die$GET"echostr"; //被动响应消息和事件 responsemsg; function responsemsg global $dbm,$C; $postStr = $GLOBALS"HTTPRAWPOSTDATA"; if!empty$postStr $postObj = simplexmlloadstring$postStr,...

正方招生管理系统存在通用型弱口令，可getshell

简要描述： rt 详细说明： 正方的招生管理系统由于使用了eweb的编辑器，而且默认密码都没有改可以直接admin/admin登录，然后修改样式之后上传可getshell 编辑器路径为：editor/admin/login.jsp 用户名/密码：admin/admin 一些案例： http://iczu.zju.edu.cn/zjdxlxszsxt/editor/admin/default.jsp 浙江大学留学生招生系统 http://zspt.jxvtc.edu.cn:8001/zsxt/editor/admin/default.jsp 嘉兴职业技术学院...

用友NC-IUFO系统通用SQL注入(三)

简要描述： ... 详细说明： 该系统“忘记密码”模块存在sql注入漏洞 链接地址为：/epp/core/forgetpwd.jsp?pageId=forgetpwd&rand=1234 说明：输入用户名和邮箱后提交，程序会提交给 /epp/core（可从抓取的数据包中看到）， 漏洞参数：userid 数据库系统：oracle 注入类型：AND/OR time-based blind 这里直接给出证明案例（列出数据库实例名称即可、不深入）： 0x01; http://nc.xhlbdc.com/epp/ POST /epp/core HTTP/1.1 Host: nc.xhlbdc.co...

帝友P2C借贷系统前台getshell#1

简要描述： 帝友P2C借贷系统前台getshell1 详细说明： 这次是帝友公司旗下出的另一套电子商务cms 不是帝友p2p！ 官方最新版本是 帝友P2C借贷系统V1.01 上传头像处存在getshell 已官方演示站做演示 已注册账号，账号密码都是test1a 访问 http://p2c.diyou.cc/?user&m=approve/safe 上传头像，抓包 修改数据包，插入一句话木马，修改后缀为php后缀 虽然回显500，但是phpshell已经上传了 dyupfiles/avatar/diyou/用户id.php 得到...

帝友P2C借贷系统最新版前台getshell#2

简要描述： 帝友P2C借贷系统最新版前台getshell2 详细说明： 这次是帝友公司旗下出的另一套电子商务cms 不是帝友p2p！ 官方最新版本是 帝友P2C借贷系统V1.01 漏洞文件dyweb/dyusers/diyoup2c/users/users.upload.php header"Expires: Mon, 26 Jul 1997 05:00:00 GMT"; header"Last-Modified: " . gmdate"D, d M Y H:i:s" . " GMT"; header"Cache-Control: no-store, no-cache,...

嘉缘人才系统最新版注入（无视防御）

简要描述： rt 详细说明： 看到\member\personinterview.php if$do=='del' $checks=$POST'checks'; $db -query"delete from $cfg'tbpre'myinterview where ipmember='$username' and iid in $checks"; showmsg'删除成功！',"?m=personinterview&show=$show",0,2000;exit; 由上面的代码可以看出来，$checks直接进入了sql中，而且没有单引号。...

嘉缘人才系统SQL注入可获取任意数据#1

简要描述： RT 详细说明： 在common/guestbook.php： $page= isset$GET'page'?$GET'page':1; $memberlogin='匿名'; ifgetcookie"userlogin"!='' $disabled=" readonly"; $rs=$db-getone"select memail from $cfg'tbpre'member where mlogin='".getcookie"userlogin"."'"; if$rs $memberlogin=getcookie"userlogin";...

TurboMail 前台sql注入漏洞

简要描述： 前台注入存在注入，可查看管理员密码甚至getshell。 详细说明： 0x1 前台注入 turbomail\web\webapps\ROOT\enterprise\noteadd.jsp: ... UserInfo userinfo = ms.userinfo; if userinfo == null XInfo.gotoInfoms,request,response,"info.loginfail",null,0; return; String id = request.getParameter"id";//id参数传入，没有过滤 Note note = null;...

青果教务系统多处漏洞可整站脱裤

简要描述： 绕过WAF 详细说明： 一、验证码可重复利用导致撞库漏洞 今年，随着国外Gmail及国内多个大型电商受到撞库攻击，撞库已然成为高危漏洞。通过撞库，黑客可成功窃取大量账户作为进一步攻击的手段，现在全国多个高校在用的青果教务系统验证码未处理导致可重复利用，最终经过一些暴力枚举可获取学生信息 谷歌：intitle:"学生综合管理系统" inurl:"xsweb" 可以获得不少青果管理系统 主站登陆处 案例1.http://xsweb.uvu.edu.cn/ 首先通过社工得到学号：...

大米CMS v4.9 绕过防御储存型xss。（ 附添加管理员poc）

简要描述： rt 详细说明： removexss这个函数太弱了。 function removexss$val // remove all non-printable characters. CR0a and LF0b and TAB9 are allowed // this prevents some character re-spacing such as // note that you have to handle splits with \n, \r, and \t later since they are allowed in some inputs $val =...

大米CMS命令执行可getshell

简要描述： 开启使用静态时，导致命令执行 详细说明： /Web/Lib/Action/ArticleAction.class.php public function index if!isset$GET'aid' $this-error'非法操作'; injectcheck$GET'aid'; injectcheck$GET'p'; $aid = intval$GET'aid'; //读取数据库和缓存 obstart; //用于生成静态HTML $isbuild = C'ISBUILDHTML'; //允许参数 $allowparam = array'p','keyword';...

用友旗下某服务器日志平台泄露用户隐私及企业数据

简要描述： RT,好在量不大。 详细说明： http://223.203.195.109:8080/log 漏洞证明：...

PHPYun v3.2 /model/ajax.class.php SQL注入漏洞

/model/index.class.phpfunction exchangesaction $GET'page'=$POST'page'; $where=$POST'jobwhere'." ORDER BY lastupdate DESC"; $urlarr'page'="page"; $pageurl=$this-url"index","index",$urlarr; $rows=$this-getpage"companyjob",$where,$pageurl,6,"id,name,uid,salary,edu,lastupdate"; if$rows&&isarray$rows...

PHPYun v3.2 /ask/model/index.class.php SQL注入漏洞

/ask/model/index.class.php$iids=$isset'ids'.','.$POST'id'; $nid=$this-obj-updateonce"attention",array"ids"=$iids,array"id"=$isset'id'; if$nid $data'uid'=$this-uid; $data'content'=$content; $data'ctime'=time; $this-obj-insertinto"friendstate",$data; echo '1'; else echo '0'; $iids拼接用戶POST的id。...

PHPYun v3.2 /member/user/model/resume.class.php SQL注入漏洞

No description provided by source...

方维O2O城市生活系统 商家可加入xss 查看店铺触发（官方演示）

简要描述： 方维O2O城市生活系统 商家可加入xss 查看店铺触发 详细说明： 商家登录界面: http://o2o.fanwe.net/biz.php?ctl=login 会员账号：fanwe 密码：fanwe 进入商户界面 点击 资料修改 设置部门简介 填入 保存 然后 查看店铺 其他用户查看该店铺就会触发 漏洞证明： 商家登录界面: http://o2o.fanwe.net/biz.php?ctl=login 会员账号：fanwe 密码：fanwe 进入商户界面 点击 资料修改 设置部门简介 填入 保存 然后 查看店铺 其他用户查看该店铺就会触发...

53KF某插件存储XSS跨站（华夏名网\59互联\7k7k等大量网站中枪）

简要描述： 很牛逼很牛逼真的很牛逼，不信，你看 详细说明： 53客服 某插件在网页右下角有个企业收藏夹 点开里面有个分组。 而这个分组到底是干什么的，怎么分配的。我现在也没弄清楚 但是它的分组名称是可修改的。 修改名称，插入代码 test" 但是，审查元素去看代码。发现没有，失败了？ 可是实际上我们已经收到cookie了。 挂了一晚上加一个上午，收获颇丰啊O∩∩O哈！ 而且进去以后发现中枪的可不是一个域名。 7k7k，华夏名网，59互联，兄弟连+一大堆小站，6千加的cookie，怎么也有几百个网站吧。 img...

大米CMS v4.9 sql注入

简要描述： rt 详细说明： 看到 操作数据的save函数 public function save$data='',$options=array ifempty$data // 没有传递数据，获取当前数据对象的值 if!empty$this-data $data = $this-data; else $this-error = L'DATATYPEINVALID'; return false; // 分析表达式 $options = $this-parseOptions$options; if!isset$options'where' // 如果存在主键数据 则自动作为更新条件...

用友ICC客服系统任意文件下载漏洞影响联通人寿等

简要描述： 任意文件下载 详细说明： 用友icc客户系统存在任意文件下载漏洞，漏洞文件common/getfile.jsp源码如下： % String fullPath = ""; String f=""; f = request.getParameter"p"; ifCommonUtil.validateParamf f = ""; f = CommonUtil.filtParamf; iff == null || f.equals"" out.print"请传入文件名。 "; return; f = f.substringf.lastIndexOf"/"+1; String...

Coremail邮件正文存储型XSS漏洞（浏览器攻击技巧）

简要描述： 正文正文 PS：需浏览器支持。 详细说明： chrome进入36时代以后，多了一种引入外部HTML的方法： twitter上MK很早就通过这个方法bypass了当时的chrome audit：https://twitter.com/avlidienbrunn/status/486059626002395136，但实际上这个方法的危害不止于此，大部分基于黑名单的富文本过滤器是没有考虑这个方式的XSS的，通过这个就能简单构造一个XSS。...

某校园管理系统后台SQL注入(无需登录/SA权限)

简要描述： ... 详细说明： 百度dork：inurl:/ws2004/ 技术支持：南京苏亚星资讯科技开发有限公司 ---------------------------------------- 漏洞页面：ws2004/SysManage/LeaveWord/List.asp?AbPage=1&where=%20where%20Title%20like%20111 漏洞参数：where 均为sa权限 ---------------------------------------- 漏洞证明： 1 http://www.suyaxing.com:81/ws2004/...

某大型政府服务系统Oracle注入(使用量大)

简要描述： 某大型政府服务系统Oracle注入使用量大 详细说明： 问题厂商:深圳太极软件有限公司 一套专门的政务服务系统 用户量：大 影响：广 注入点 /researchinfo.do?method=queryinfo&id=1（id存注入） /researchinfo.do?method=querysx&deptid=1（deptid存注入） 证明： google关键字：inurl:bmtd.do? 漏洞证明： http://www.yjxzfw.com.cn/researchinfo.do?method=queryinfo&id=1 sqlmap.py -u...

PHPB2B某处sql注入#2

简要描述： PHPB2B某处sql注入2 详细说明： PHPB2B某处sql注入 官网下载的最新版本 绕过全局防注入。 我们先看看全局防注入怎么写的。 以下是全局防注入用到的函数 function pbattackfilter$StrFiltKey,$StrFiltValue,$ArrFiltReq ifisarray$StrFiltValue $StrFiltValue=@implode",", $StrFiltValue; if pregmatch"/".$ArrFiltReq."/is",$StrFiltValue==1 echo $StrFiltValue;...

PHPB2B某处sql注入#3

简要描述： PHPB2B某处sql注入3 详细说明： PHPB2B某处sql注入 官网最新版本 libraries/core/controllers/productcontroller.php 176-187行 function lists global $pos, $viewhelper; $viewhelper-setPositionL"productcenter", 'tpl', 'index.php?do=product'; $viewhelper-setTitleL"productcenter", 'tpl'; setvar"module", "product";...

PHPMyWind v5.0 /product.php SQL注入漏洞

No description provided by source...

PHPB2B某处sql注入（危害巨大）

简要描述： PHPB2B某处sql注入（危害巨大） 详细说明： PHPB2B某处sql注入 官网下载的最新版本 绕过全局防注入。 我们先看看全局防注入怎么写的。 以下是全局防注入用到的函数 function pbattackfilter$StrFiltKey,$StrFiltValue,$ArrFiltReq ifisarray$StrFiltValue $StrFiltValue=@implode",", $StrFiltValue; if pregmatch"/".$ArrFiltReq."/is",$StrFiltValue==1 echo $StrFiltValue;...

PHPMyWind 5.2 /admin/infoimg_do.php SQL注入漏洞

No description provided by source...