AnyMacro邮件系统任意邮箱账号密码修改

简要描述： AnyMacro邮件系统任意邮箱密码修改 详细说明： AnyMacro邮件系统在找回密码处存在设计缺陷 经分析发现AnyMacro找回密码处修改密码时仅仅是通过cookie验证 而这个cookie在你进行找回密码操作时将找回密码的邮箱记录在了当前cookie中 可以直接修改密码 第一步 找回密码（密码找回方式选择：密码找回问题） 第二步 直接带着当前cookie Post: passlang=cn&Fnewpass=ceshi123&Fcheckcode=验证码&Fanswerpass=%E4%B8%8B%E4%B8%80%E6%AD%A5 该方法无视是否设置了密码问题 漏洞...

方维购物分享最新版前台代码漏洞

简要描述： 一步两步似魔鬼的步伐 详细说明： 缺陷文件： /core/function/global.func.php 如下： / 显示页面 @param string $cachefile 缓存路径 @param bool $issession 是否更新session @param bool $isreturn 是否返回页面内容 @return mixed / function display$cachefile = '',$issession = true,$isreturn = false global $FANWE; $content = NULL;...

ecshop一处验证码绕过逻辑漏洞

简要描述： 一处逻辑漏洞导致绕过 详细说明： 虽然验证码进行了加密，但是逻辑上还有点问题 问题出在 ..\includes\clscaptcha.php 通过验证函数可以看到直接返回，并没有对验证失败进行处理 function checkword$word $recorded = isset$SESSION$this-sessionword ? base64decode$SESSION$this-sessionword : ''; $given = $this-encryptswordstrtoupper$word; //MD5加密处理 return pregmatch"/$given/...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用5个案例来测试。 注入链接是： /zwdtSjgl/infoDetail.jsp?id= 案例： http://www.ilj.gov.cn/zwdtSjgl/infoDetail.jsp?id=461 http://218.62.81.171/zwdtSjgl/infoDetail.jsp?id=461 http://218.62.100.33:8000/zwdtSjgl/infoDetail.jsp?id=146...

php云人才系统存储型跨站两处

简要描述： php云人才系统存储型跨站两处 详细说明： WooYun-2014-73319 WooYun: php云人才系统存储型跨站多处 曾经报道过这两处存储型跨站，虽然厂商修了，但是还是可以以奇葩的方式XSS跨站。 0x01: 我要提问 ================================================================ 我们先将要注入的代码做HTML编码，例如： alert1; 编码后为： 然后贴到内容里面： 添加 添加成功后就可以看到弹框： 0x02: 追加问题...

PHPAPP注入第五枚（无视过滤）

简要描述： PHPAPP注入第五枚（无视过滤） 详细说明： 在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看2014-12-11更新的。 PSOT注入点：wwww.xxx.com /member.php?app=82&action=1 , 存在漏洞的文件在/phpapp/apps/sellerservice/memberphpapp.php...

phpyun v3.2 (20141222) 前台注入 #4

简要描述： 20141222 详细说明： member\user\model\privacy.class.php 中 function indexaction ifintval$POST'status' $this-obj-DBupdateall"resume","$POSTtype='".intval$POST'status'."'","uid='".$this-uid."'";//没对post来的做判断 直接带入key中 造成了注入 $this-obj-memberlog"设置简历是否公开"; 这里我们首先先创建一个简历 然后容易直接出数据。...

phpyun v3.2 (20141222) 三处注入

简要描述： 20141222 详细说明： 第一处在 api/alipay/alipayto.php 现在的少了以前的验证。 errorreporting0; requireonce"alipayconfig.php"; requireonce"class/alipayservice.php"; requireoncedirnamedirnamedirnameFILE."/data/db.config.php"; requireoncedirnamedirnamedirnameFILE."/plus/config.php";...

PHPAPP注入第三枚（无视过滤）

简要描述： 详细说明： 在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看2014-12-11更新的。 PSOT注入点：wwww.xxx.com//member.php?action=7&app=82 , 存在漏洞的文件在/phpapp/apps/sellerservice/memberphpapp.php 来看看漏洞是如何产生的/phpapp/apps/sellerservice/memberphpapp.php...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用5个案例来测试。 注入链接是： /zwdtSjgl/infoIndex.jsp?channelCid= 案例： http://218.27.207.22/zwdtSjgl/infoIndex.jsp?channelCid=6 http://218.27.190.107:8080/zwdtSjgl/infoIndex.jsp?channelCid=9...

phpyun v3.2 (20141222) 前台注入 #5

简要描述： 目测最后一发。 详细说明： 在member/model/blacklist.class.php中 function saveaction ifisarray$POST'buid'&&$POST'buid' $company=$this-obj-DBselectall"company","uid in".@implode',',$POST'buid'."","uid,name";//直接整合成字符串后 带入查询 没有经过自带的pylode处理 或者 intval 和单引号 导致了注入 foreach$company as $val...

PHPAPP注入第二枚（漏洞打包）

简要描述： PHPAPP注入第二枚（漏洞打包） 详细说明： 在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看2014-12-11更新的。 PSOT注入点：wwww.xxx.com/admin.php?app=5&menu=10&action=5, 存在漏洞的文件在/phpapp/apps/apppay/adminphpapp.php...

phpyun v3.2 (20141222) 无需登录无视过滤注入一枚。

简要描述： 无需登录。 最新版本。 demo测试。 功能越多 bug越多 bug越多 rank越多。 详细说明： 在model/subscribe.class.php中 function certaction if$GET'id' $arr=@explode"|",base64decode$GET'id';//当时我就震惊了。。。 $email = $arr0; $code = $arr1; $nid=$this-obj-DBupdateall"subscribe","status='1'","email='".$email."' and code='".$code."'";...

Doyo建站 SQL注入

简要描述： 两头牛在一起吃草，青牛问黑牛：“喂！你的草是什么味道？” 黑牛道：“草莓味！” 青牛靠过来吃了一口，愤怒地喊到：“你骗我！” 黑牛轻蔑地看他一眼，回道：“笨蛋，我说草没味。” 详细说明： 1 source\message.php function add if$GLOBALS'GDY''vercode'==1 if!$this-syArgs"vercode",1||md5strtolower$this-syArgs"vercode",1!=$SESSION'doyoverify'message"验证码错误"; if!$this-syArgs'tid'message"请选择栏目...

hdwiki 一处sql注入

简要描述： 费了些力气，不过还是不错的。 注入，不过不是get方式，规则绕不过去，求大牛们秒了它，post方式注入，不过这个漏洞感觉很有意思。 最后再说，别不给确认，不给rank 详细说明： 先来看看Hdwiki处理提交数据的方式，get就算了，各种绕不过。 在/hdwiki/model/hdwiki.class.php中 大约 52行 $this-post = string::haddslashes$POST; //跟入 haddslashes函数如下,可以看到POST过来的数据处理addslashes单引号，双引号,反斜杠，NULL下 function...

phpems在线模拟考试系统 getshell

简要描述： phpems 最新版本20141103 http://phpems.net/forum/thread-441-1-1.html 上传过滤不严导致任意文件上传。 详细说明： phpems\app\document\api.php public function swfupload $path = 'files/attach/images/content/'.date'Ymd'.'/'; $fileurl = $this-files-uploadFile$this-ev-getFile'Filedata',$path; if$this-ev-get'imgwidth' ||...

Turbomail邮件系统XSS-1

简要描述： Turbomail邮件系统最新版某处存在xss漏洞，可以用来钓鱼，获取cookie等 详细说明： 版本：windows server下搭建的最新版5.2.0 漏洞文件为 C:\turbomail\web\webapps\ROOT\enterprise\swfupload\swfupload.swf 此版本存在xss缺陷，参考CVE-2012-3414...

PHPAPP注入第一枚（无视过滤）

简要描述： PHPAPP注入第一枚（无视过滤） 前面提交的时候弄错了，和乌云小秘书商量后，让我重新提交一次，希望2014-12-20提交的那个不要通过审核啊，把这个通过了吧 详细说明： 在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看2014-12-11更新的。 PSOT注入点：wwww.xxx.com/member.php?app=2&action=40,...

Finereason /mobile/index.php SQL注入漏洞

No description provided by source...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统。 我就用5个案例来测试。 注入链接是： /zwdtSjgl/Manual/Manual.jsp?depid= 案例： http://218.27.140.5/zwdtSjgl/Manual/Manual.jsp?depid=013524006 http://218.62.100.33:8000/zwdtSjgl/Manual/Manual.jsp?depid=01361537-0...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用5个案例来测试。 注入链接是： /zwdtSjgl/info/dongtaiiframe.jsp?cid= 案例： http://218.27.207.22/zwdtSjgl/info/dongtaiiframe.jsp?cid=4 http://139.209.60.6/zwdtSjgl/info/dongtaiiframe.jsp?cid=4...

Shopex开放平台某处SQL注入

简要描述： Shopexopen平台Sql注入 详细说明： open平台： sqlmap -u 'http://open.shopex.cn/docs/apisearch/?methodtypeid=22&docskeyword=&platformid=0' 漏洞证明： 截图：...

DayuCMS 1.525 /pay/order.php 代码执行漏洞

No description provided by source...

ThinkSNS 3.1 /apps/page/Lib/Action/DiyAction.class.php 本地文件包含漏洞

No description provided by source...

DamiCMS 2.2 /Web/Lib/Action/MemberAction.class.php SQL注入漏洞

No description provided by source...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用5个案例来测试。 注入链接是： /zwdtSjgl/Directory/showNsjg.jsp?NsjgId= 案例： http://122.143.239.70:8090/zwdtSjgl/Directory/showNsjg.jsp?NsjgId=1736 http://222.160.175.90/zwdtSjgl/Directory/showNsjg.jsp?NsjgId=1769...

PHPAPP注入第十枚（未过滤）

简要描述： PHPAPP注入第十枚（未过滤） 详细说明： 在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看2014-12-11更新的。 PSOT注入点：wwww.xxx.com/member.php?app=48&op=4&action=1, 存在漏洞的文件在/phpapp/apps/order/memberphpapp.php 随意注册个账号即可测试...

大米CMS最新版SQL盲注5绕过防御

简要描述： 大米CMS最新版4.7，SQL盲注 详细说明： 大米CMS最新版4.7，SQL盲注，绕过防御 文件/Web/Lib/Action/PublicAction.class.php： //在线充值或在线订单处理 function shouquan $appath = intvalC'APTYPE'==1?'apjishi':'apdanbao'; requireonce"./Trade/$appath/alipay.config.php"; requireonce"./Trade/$appath/lib/alipaynotify.class.php"; //计算得出通知验证结果...

Finereason /mobile/member.php SQL注入漏洞

No description provided by source...

DayuCMS 1.525 /member/include/tag.class.php SQL注入漏洞

/member/include/member.class.phpfunction exists$field, $value return $this-db-fetchone"SELECT id FROM $this-table WHERE $this-table.$field='$value' LIMIT 0, 1"; 传入的$field和$value未经过过滤直接带入SQL语句中。 /member/include/msg.class.php function send$msgs global $userid,$username,$member;...

tipask储存型XSS

简要描述： 存在两处 详细说明： 下载了一个tipask测试 漏洞证明： 站内信发送， 抓包 mysql日志显示 完整的。。。。 后面是没有过滤 INSERT INTO askmessage SET from='abc' , fromuid=3 , touid=2 , subject='aaaaaaaaaaaaaaaaaaa"img src= onerror=alert1' , time=1419138527 , content='" title="1.jpg"/' 第二处 ，发表提问也存在 img...

tipask问答系统某处存储型xss（绕过限制）

简要描述： tipask问答系统某处存储型xss（绕过限制） 详细说明： 编辑个人资料时，QQ处没有过滤。 http://127.0.0.1/tipask/tipask/?user/profile.html 输入 "xx 提交后自己查看 别人查看 但是QQ处长度有限制，导致我们不能形成xss。 只能长15个字符，不够构造xss 但是我发现用户可以编辑签名，长度在200字符以内，但是该处有限制。 我们先看看输出。 可以看到 尖括号被过滤了。 但是结合前面那个QQ处的bug，我...

大米CMS最新版SQL盲注4绕过防御

简要描述： 大米CMS最新版4.7，某处绕过防御SQL盲注 详细说明： 大米CMS最新版4.7，2014-12-12更新 文件/Web/Lib/Action/MemberAction.class.php： //创建帐号 function qqcreate $data = arraymap'strval',$POST; $data = arraymap'removexss',$data; if$data'realname'=='' || $data'qid'==''$this-error'参数错误!';exit; $t =...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统 我就用5个案例来测试。 注入链接是： /zwdtSjgl/Directory/showLeader.jsp?LeadId= 漏洞证明： 案例一： http://218.27.190.107:8080/zwdtSjgl/Directory/showLeader.jsp?LeadId=2986 案例二： http://122.143.239.70:8090/zwdtSjgl/Directory/showLeader.jsp?LeadId=3261 案例三：...

从ThinkPHP谈基于框架开发程序的安全性（从SQL注入到代码执行）

简要描述： 从ThinkPHP谈基于框架开发程序的安全性，以ThinkPHP，ThinkSNS，大米CMS等最新版漏洞证明为例 详细说明： 从ThinkPHP谈基于框架开发程序的安全性，以ThinkPHP，ThinkSNS，大米CMS等为例 之前在看ThinkPHP开发手册的时候看到这个： 字符串方式 字符串方式条件即以字符串的方式将条件作为 where 方法的参数，例子： $Dao = M"User"; $List = $Dao-where'uidfind; 实际执行的 SQL 为： SELECT FROM user WHERE uidwhere'role='.$role-find;...

Coremail邮件系统存储型XSS漏洞

简要描述： 盈世信息科技（北京）有限公司（www.Mailtech.cn），是网易（Nasdaq: NTES）的联营公司,拥有双软认证、高科技企业等多种资质。公司专注于提供电子邮件整体技术解决方案及企业邮局运营服务。公司决策层包括网易高层及国外资深投资人士，管理层由国内电子邮件行业的元老级技术专家和营销专家组成,拥有三大邮件市场品牌 Coremail邮件系统软件、CorpEase企业邮局和iCoremail专业邮件系统托管。盈世总部设立于北京，在上海、广州、武汉、成都、西安等地设立分部。 讲了那么多，目测5分 详细说明： 未过滤XML代码 正文插入即可 漏洞证明：...

大汉系统又一SQL注入

简要描述： 大汉系统又一SQL注入 详细说明： Url： /vc/vc/para/oprinitvc.jsp?webid=1+and+1=1-- 截图： ./sqlmap.py -u 'http://www.sinotrans.com/vc/vc/para/oprinitvc.jsp?webid=1' --dbms Oracle ./sqlmap.py -u 'http://www.sinotrans.com/vc/vc/para/oprinitvc.jsp?webid=1' --current-user 漏洞证明： 案例：...

致远A8-V5协同管理软件普通用户任意文件上传(通杀V5)

简要描述： 这几天一直在琢磨致远A8-V5，昨天发现几个小问题，今天进一步挖掘到任意文件上传漏洞。 详细说明： 致远A8-V5协同管理软件允许普通用户调用本属于system·权限的功能【登陆页模板管理】，虽然不能利用浏览器直接访问该功能，提示权限不足，但是直接发送数据包即可成功。 致远A8-V5协同管理软件充分的考虑了上传文件所带来的危险，全系统都采用上传文件缓存到web目录以外，不能直接获取webshell。但利用【登陆页模板管理】处的文件缓存迁移到web目录功能即可获取webshell。 漏洞证明： 演示地址： http://a8v51.seeyon.com/...

某政府信息公开系统存在SQL注入

简要描述： RT 详细说明： 吉大正元信息技术股份有限公司:http://www.jit.com.cn/ 众多政府网站都在使用该系统。 我就用5个案例来测试。 注入链接是： /zwdtSjgl/Directory/iframeAgencyFunctions.jsp?departmentno= 案例： http://218.27.207.22/zwdtSjgl/Directory/iframeAgencyFunctions.jsp?departmentno=1...

Hdwiki (20141205) 存在7处SQL注入漏洞（含之前处理不当安全的漏洞）

简要描述： 看到更新了, 有几个老洞还没修复 也随便放到这里面来说了。 详细说明： 0x01 在control/comment.php 中 function doreport $usernames=array; $id=intval$this-post'id' ? $this-post'id' : 0; $report=trimhtmlspecialcharsWIKICHARSET==GBK?string::hiconv$this-post'report':$this-post'report'; ifempty$id||empty$report $this-message-1,'',2;...

致远A8-V5协同管理软件未授权访问(通杀V5，获取系统内各种缓存信息)

简要描述： 致远A8-V5协同管理软件存在未授权访问，可以利用普通用户权限访问system权限页面，获取大量缓存信息，如用户信息。 详细说明： 利用之前提交的漏洞“致远A8-V5协同管理软件日志信息泄露通杀V5”获取到的某弱口令用户对http://a8v51.seeyon.com进行测试，发现致远A8-V5协同管理软件还存在未授权访问，可以利用普通用户权限访问system权限页面，获取大量缓存信息，如2000+用户信息。 漏洞证明： 登录某普通用户 访问 http://a8v51.seeyon.com/seeyon/ctp/sysmgr/monitor/cacheDump.do...

致远公司某QQ邮箱泄漏导致公司内部人员联系方式信息泄漏（包含手机，QQ，邮箱等）

简要描述： 致远公司某QQ邮箱泄漏导致公司内部人员联系方式信息泄漏（包含手机，QQ，邮箱等） 详细说明： 为什么取这个名字呢 事情还要从这说起 WooYun: 都都宝某系统弱口令涉及公司内部个人信息 由于都都宝的OA不善 导致里面的配置邮箱帐号以及泄漏 后确认是致远内部人员的 而这两天没事又试试看 结果还可以登 这里顺便吐槽一句都都宝 这个弱口令漏洞 都提交了 你们还不修复啊？刚登了下 人还不少 邮箱帐号：[email protected] 密码：lee841126 登录进这个邮箱后··· https://images.seebug...

Mongodb 代码执行漏洞

No description provided by source...

云锁最新版1.3.145设计缺陷可Bypass

简要描述： 参考某IDS绕过牛 详细说明： 云锁存在同样的防护绕过问题，一次性判断包大小为7250byte以下，测试过程如下： n为填充包内容，设置n大小为2328时，可以正常访问页面，但是会提示防护拦截SQL脚本 设置n为2329时，就能成功绕过了 所以测试结果表明：云锁一次性解析包大小为7250byte以下，超过的部分不被防护脚本检测 漏洞证明： 详细...

Qibo Menhu V5 /wei/js.php SQL注入漏洞

/wei/js.php elseif$type=='like' $SQL.=" AND id!='$id' "; if!$keyword extract$db-getone"SELECT keywords AS keyword FROM $precontent WHERE id='$id'"; if$keyword $SQL.=" AND "; $keyword=urldecode$keyword; $detail=explode" ",$keyword; unset$detail2; foreach $detail AS $key=$value $detail2=" BINARY...

Lezhixing cms /datacenter/getfile.do 任意文件下载漏洞

No description provided by source...

Lezhixing cms /datacenter/downloadApp/loadAppInfo.do SQL注入漏洞

No description provided by source...

Mongodb 数据库未授权访问 PoC

未授权访问漏洞成因：Mongodb在启动的时候提供了很多参数，如日志记录到哪个文件夹，是否开启认证等。造成未授权访问的根本原因就在于启动Mongodb的时候未设置 --auth 也很少会有人会给数据库添加上账号密码（默认空口令，它像一张白纸，需要管理员自己去涂写账号，使用默认空口令这将导致任何人无需进行账号认证就可以登陆到数据服务器。漏洞利用：使用Mongodb数据库链接工具直接连接...

Qibo Information V1 /search.php 跨站脚本漏洞

/search.php$moduleselect="select name='mid' onChange="window.location.href='?mid='+this.optionsthis.selectedIndex.value"option value='0' style='color:aaa;'所有模型/option"; foreach$moduledb AS $key=$value $ckk=$mid==$key?' selected ':' '; $moduleselect.="option value='$key' $ckk$value/option";...

齐博地方门户系统sql注入

简要描述： 变量未初始化导致注入 详细说明： 齐博地方门户系统 齐博的全局过滤系统中由于存在如下代码，导致传入的参数可以成为全局变量 foreach$COOKIE AS $key=$value unset$$key; foreach$POST AS $key=$value !ereg"^\A-Z+",$key && $$key=$POST$key; foreach$GET AS $key=$value !ereg"^\A-Z+",$key && $$key=$GET$key; 所以系统中如果存在未初始化的变量，容易导致注入 2shou/post.php中 180行...