U-mail一处SQL注入+任意文件删除

简要描述： U-mail一处SQL注入+任意文件删除 详细说明： oletterpaper.php 1.sql注入： if ACTION == "letterpaper-set" $url = makelink "option", "view", "letterpaper" ; $lpid = gss $POST'id' ; .... if $lpid $lpinfo = $Widget-getoneletterpaper "id=".$lpid, "", 0 ; 没啥好分析的，直接上exp...

用友CRM注入漏洞（无需登录通杀所有版本）

简要描述： 用友某系统注入漏洞，无需登录，通杀所有版本 详细说明： 用友TurboCRM存在通用sql注入。 http://crm.varsal.com.cn:8081/login/login.php 如下图找到找回密码页 访问 http://crm.varsal.com.cn:8081/login/changepswd.php?orgcode=1&loginname=system 输入信息抓包 POST /login/changepswd.php?orgcode=1&loginname=system HTTP/1.1 Host: crm.varsal.com.cn:8081...

Discuz!X一个为所欲为的csrf+hpp(站点脱裤，任意文件文件操作，目录穿越，可能其他cms躺着中枪)

简要描述： Discuz!x 一个为所欲为的csrf站点脱裤，任意文件文件操作，目录穿越，可能其他cms躺着中枪 求闪电！！！！！！！！！！！！！！ 详细说明： 此漏洞来自dz公司的ucenter，这个ucenter，应该是在数据库备份操作时候，没有做csrf防御可导致dz被文件操作，脱裤等等，开始分析： 下来我们分析代码： ucserver\control\admin\db.php:85-ll6行: function onoperate requireonce UCROOT.'lib/xml.class.php'; $nexturl = getgpc'nexturl'; $appid ...

苹果cms一处csrf可导致用户密码为空

简要描述： 以前在火车上的时候找到的 一直没提交 详细说明： 修改个人资料处 没有原始密码，直接抓包 poc None...

Discuz! xxe 可破坏数据库结构，导致脏数据进入

简要描述： Discuz! xxe 可破坏数据库结构，导致脏数据进入.......dz太变态了，小引号也过滤了，妹的，没办法只能分析到这里，但是隐约感觉到，这里存在很大的风险，因为改变了系统模板风格，先发个福利，大家自己看吧 详细说明： 首先我们看文件: portalcpdiy.php（lines:301-324）: if submitcheck'importsubmit' $isinner = false; $filename = ''; if$POST'importfilename' $filename =...

Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

简要描述： Discuz!x xss反弹后台无防御sql注入getshell，这里的xss只是做一个药引子，因为xss来自日志功能，然而这个日志功能却又默认关闭的，为了测试我们开启它。这个漏洞应该是所有dz通杀的，我下载了最新版本的所以测试通过...... 详细说明： 首先我们开启日志功能，然后存储一个xss看看： 测试一个xss页面： 我们调到文章页面看看，是否被执行了： 下来我们看看怎样把这个发给管理员呢，底下有一个举报页面： 我们以管理员的身份看看这个后台的举报请求： 这个过程我们分析完毕了，下来我们看看后台一处，无防御的sql注入：...

Discuz！的addcslashes对序列化字符串处理不当造成数据注入

简要描述： 首先声明一点，这个漏洞2014-09-10在“腾讯安全应急响应中心”发过，账号现已放弃，对于腾讯不想多说什么 问题描述： DiscuzX3.2及以下 可盗取管理员、用户信息，蠕虫攻击等 详细说明： source\class\discuz\discuzdatabase.php public static function quote$str, $noarray = false if isstring$str return ''' . addcslashes$str, "\n\r\'"\032" . ''';...

cmseasy前台sql盲注(绕过union，sleep等函数，无需登录，无防御)

简要描述： cmseasy 前台sql盲注绕过union，sleep等函数，无需登录，无防御 详细说明： archiveact.php:line:27-33 front::checktype$this-pagesize; $announcement = new announcement; $this-view-announcements = $announcement-getrowsnull, 10; $this-view-usergroupid = 1000; front::checktypecookie::get'loginusername', 'safe';...

F5 BIG-IP SSH 私钥泄露漏洞

No description provided by source...

Supermicro Onboard IPMI Port 49152 敏感文件泄露漏洞

关于 IPMI：智能平台管理接口 IPMI 是一种开放标准的硬件管理接口规格，定义了嵌入式管理子系统进行通信的特定方法。IPMI 信息通过基板管理控制器 BMC（位于 IPMI 规格的硬件组件上）进行交流。IPMI是智能型平台管理接口（Intelligent Platform Management Interface）的缩写，是管理基于...

VxWorks WDB Agent 远程内存读取漏洞

VxWorks安全初探 404@KnownSec --- 0x00 前言 --- 关于VxWorks，这里引用44CON议题《攻击 VxWorks：从石器时代到星际》探究 一文章中的介绍： VxWorks 是世界上使用最广泛的一种在嵌入式系统中部署的实时操作系统，是由美国WindRiver公司（简称风河公司，即WRS 公司）于1983年设计开发的。其市场范围跨越所有的安全关键领域，仅举几例，包括火星好奇心流浪者、波音787梦幻客机、网络路由器。这些应用程序的安全高危性质使得VxWorks的安全被高度关注。 VxWorks操作系统是由美国Wind...

Status2k-Server-Monitoring /includes/functions.php 后门

No description provided by source...

Discuz! X系某插件导致储存型XSS漏洞（直接利用没过滤）

简要描述： Discuz! X系某插件导致储存型XSS漏洞（直接利用没过滤） 详细说明： http://addon.discuz.com/[email protected] 就是这款插件哦 我们随便谷歌一下 漏洞证明：...

嘉缘人才管理系统xss可以盗取管理员cookie

简要描述： 嘉缘人才管理系统xss可以盗取管理员cookie 详细说明： 漏洞细节： 最新下的官网的源码frcmsV31GBK 0x01 代码分析 首先看看输入点的文件comment/newscommmentok.php $cip=getip; $cnid=intval$newsid; $caddtime=date'Y-m-d H:i:s'; $ccontent=$pjcontent; //客户端接受的$pjcontent未过滤 $ctitle=$ntitle; //客户端接受的$ntitle未过滤 if!$cfg'commentcheck'...

YYJIACMS 2.1 /source/cp_android_detail.php SQL注入漏洞

No description provided by source...

WordPress download-shortcode 1.1 /wp-content/force-download.php 本地文件包含漏洞

No description provided by source...

JCMS 2.4.10 /module/sitesearch/index.jsp SQL注入漏洞

No description provided by source...

Discuz! 7.2 某自带功能存在储存型XSS漏洞

简要描述： Discuz! 7.2 某自带功能存在储存型XSS漏洞 详细说明： 还是在签到哦 plugin.php?id=dpssign:sign 发表签到 签到可以写入xss 但是要干扰前面的代码 才可以形成xss https://images.seebug.org/upload/201409/1100522754a8ee564ad50b51a9dcd8669c53e051.jpg https://images.seebug.org/upload/201409/1100524583a5fba1a426878f1f3598aaf1fa7dfc.jpg 漏洞证明：...

espcms最新版本CSRF直接getshell

简要描述： espcms 最新版本csrf 直接getshell 详细说明： 这里我们首先看看，存在的代码问题 management.php:lines:711-741: function onsetsave $dbtable = dbprefix . 'config'; $commandfile = adminROOT . 'datacache/command.php'; if !$this-fun-filemode$commandfile exit'false'; $oldishtml = $this-CON'ishtml'; $sql = 'SELECT FROM '...

大汉网络 JCMS 2.1.9 /vc/vc/columncount/tem/downfile.jsp 任意文件下载漏洞

No description provided by source...

方维图谱前台SQL注入后台拿shell

简要描述： 方维图谱前台sql注入后台拿shell 详细说明： http://t1.fanwe.net:85/index.php?action=index&hot=5' 报错 andselect 1 fromselect count,concatselect select SELECT distinct concat0x23,adminname,0x3a,adminpwd,0x23 FROM fanweadmin limit 0,1 from informationschema.tables limit 0,1,floorrand02x from...

qibocms v7 /vote.php SQL注入漏洞

No description provided by source...

JCMS /opr_domsg.jsp SQL注入漏洞

No description provided by source...

CmsEasy 5.5 /lib/admin/admin_act.php SQL注入漏洞

No description provided by source...

WordPress Themes /image_view.class.php 任意文件下载漏洞

No description provided by source...

tinyshop cookie注入

简要描述： cookie没有过滤导致sql注入 详细说明： 首先看cookie的加密： ///加解密算法 private static function code$string, $op="decode", $key='', $expiry=0 ///加密算法调用： $value = Crypt::encode$value,self::getSafeCode; ///解密算法的调用： $cookie= Crypt::decode$cryptCookie,self::getSafeCode; 这里的关键就是self::getSafeCode public static function...

PHPOK 最新版CSRF getshell

简要描述： 过滤不严格 详细说明： 漏洞细节： 漏洞一：存储型XSS 漏洞文件：framework/api/postcontrol.php94行） $array"title" = $this-get"title"; .... $this-model'list'-save$array,$tid; 这里是保存用户留言内容的部分操作。$array"title" 是获取的客户输入的主题 再来看获取过程中的过滤: （framework/init.php 第829行） //通过post或get取得数据，并格式化成自己需要的 function get$id,$type="safe",$ext=""...

用友FE通用系统漏洞打包之一

简要描述： 用友通用系统漏洞打包1 详细说明： 看了一天的时间，把发现的漏洞一起打包了 总共包含用友FE协同办公平台通用系统漏洞打包，包含12个SQL注入漏洞，总不会都重复嘛 漏洞的文件及参数为： /sys/left.jsp?lx=1 /sys/regUI.jsp?regName=111 /sys/regListUI.jsp?searchKeyvalue=111 /sys/plugin/pluginformedit.jsp?done=&key=a /security/check.jsp?name=1&id=1...

KPPW开源威客系统存在刷钱漏洞（存在利用条件）

简要描述： KPPW开源威客系统 无限制刷钱 详细说明： 我们先来注册一个帐号 注册成功之后，进入下一个页面 http://localhost/index.php?do=user 他的地址为 http://localhost/index.php?do=seller&id=5529 由此可见，我们的用户id为5529 然后我们再来发布一个商品。 http://localhost/index.php?do=pubgoods 这里添加上我们伪造的url...

Tinyshop继续刷钱#2

简要描述： 再来一发，这次有点艰难。 详细说明： protected/controllers/payment.php,36行 public function paybalance $sign = Req::post'sign'; $args = Req::post; unset$args'sign'; $totalfee = Req::post'totalfee'; $attach = Filter::intReq::post'attach'; $return'attach' = Req::post'attach'; $return'totalfee' =...

ESPCMS 全版验证码破解验证码等于虚设（可导致爆破等附解密exp）

简要描述： ESPCMS 全版！验证码破解！验证码等于虚设（可导致爆破等） 详细说明： 先看验证码生成的方法！只是生成了一个6位随机数 然后加密保存到cookie中！关键点在于加密函数eccode 竟然采用的是默认的key $fun = new functioninc; $seccode = rand100000, 999999; $secode = $fun-accept'secode', 'R'; if $secode == 'ecispseccode' $secodename = 'ecispseccode'; else $secodename =...

ShopEx某wiki系统弱密码导致大量敏感信息和源码泄漏

简要描述： ShopEx某wiki系统弱密码导致大量敏感信息和源码泄漏 详细说明： http://workspace.ec-ae.com/wiki/index.php 帐号：lixiaoli 密码：19731125 然后通过wiki 找出3个svn帐号 wangyan:326459 wangyan 51086858 Bellawy 123456 get 了大量源码 http://scm.ec-ae.com/platform/branches/current http://scm.ec-ae.com/ecaepartner/branches/current...

帝国CMS（全版） 验证码可无视！可导致验证码无效（验证码识别都是渣渣）

简要描述： 帝国CMS 验证码可无视！可导致验证码无效（验证码识别都是渣渣） 详细说明： 看帝国 获取验证码的代码 //显示验证码 function ShowKey$v $vname=ecmsReturnKeyVarname$v; $key=strtolowerdomakepassword4; ecmsSetShowKey$vname,$key; .................. ecmsReturnKeyVarname 是返回保存验证码的cookie的名称 比如本列打开的页面上注册页面的验证码 url 是...

用友某系统任意文件删除漏洞

简要描述： 用友FE协同办公系统某处验证不严，导致任意文件删除漏洞 详细说明： 漏洞影响版本V5.5.2 漏洞文件：/sys/filesetup/deletefolder.jsp?path= 漏洞参数：path /sys/filesetup/deletefolder.jsp源代码如下： --------------------------------------------- alert"删除成功！"; var reloadSrc=parent.westFrame; reloadSrc.location.href=reloadSrc.location.href;...

方维图谱（社会分享系统）前台任意命令执行+直接getshell

简要描述： 福州财易通软件技术有限公司， 方维互联网应用系统开发商 http://www.fanwe.com/ 存在漏洞系统：方维图谱（社会化分享系统），受影响全版本默认配置 详细说明： 首先前台用户注册，然后进入个人设置 自我介绍里填写任意php代码。方维图谱这套系统确定后会进行个人用户模板的缓存，类似dedecms的plus 我这里填写 确定后访问个人资料，这里需要访问2次，第一次是缓存代码，第二次访问则执行代码 http://xxxxxx.com/services/service.php?m=user&a=tip&uid=用户的uid getshell：...

74cms 设计缺陷导致全版本验证码绕过（可用于恶意发帖等）

简要描述： 74cms 全版本！验证码绕过！验证码等于无效（可用于恶意发帖等） 详细说明： 同dedecms一样！保存session到文件中！ 文件名用的是sess+PHPSESSID 直接访问即可获知验证码！ 漏洞证明：...

vBulletin 4.0.x - 4.1.2 (search.php, cat param) - SQL Injection Exploit

No description provided by source. vBulletin 4.0.x = 4.1.2 AUTOMATIC SQL Injection exploit Author: D35m0nd142, [email protected] Google Dork: inurl:search.php?searchtype=1 Date: 02/09/2014 Vendor Homepage: http://www.vbulletin.com/ Tested on: vBulletin 4.1.2 Usage: perl exploit.pl http://targe...

cmseasy 后台缓存配置文件未过滤一个字符导致getshell

简要描述： cmseasy 管理员身份 后台缓存配置文件，没有过滤一个字符导致getshell 详细说明： 啥都不说了 直接看代码： 我们直接到 然后我们分析一下代码: system.php:lines:67: ifaddslashes$POST'customerinfo' $customerinfo='true'; else $customerinfo='false'; $GLOBALS'celsysteminfo'-confaddslashes$POST'url', addslashes$POST'template',...

Wordpress Huge-IT Image Gallery 1.0.1 Authenticated SQL Injection

No description provided by source. Exploit Title : Wordpress Huge-IT Image Gallery 1.0.1 Authenticated SQL Injection Exploit Author : Claudio Viviani Vendor Homepage : http://huge-it.com/ Software Link : http://downloads.wordpress.org/plugin/gallery-images.zip Mirror Link :...

glibc Off-by-One NUL Byte gconv_translit_find Exploit

No description provided by source. // // Full Exploit: http://www.exploit-db.com/sploits/CVE-2014-5119.tar.gz // // // --------------------------------------------------- // CVE-2014-5119 glibc gconvtranslitfind exploit // ------------------------ taviso & scarybeasts ----- // // Tavis Ormandy...

74CMS最新版绕过继续任意文件读取(通用性分析)到任意文件删除

简要描述： 74CMS最新版绕过继续任意文件读取通用性分析到任意文件删除 详细说明： 0x000 简介 写这个漏洞的时候很纠结，不知道到底要提交给谁，74cms，cncert，腾讯？ 最后还是交给74cms吧，因为74cms的厂商看了还是挺负责的，交给cncert又不知道能不能让厂商知道并修复，交给腾讯肯定又是忽略的节奏！ 这里主要那74cms的漏洞和phpyun之前的漏洞分析，然后找出共同的问题点，然后找到来源，都是因为开发者的安全意识薄弱，还有腾讯的带头大哥榜样惹的祸，暂且这么说吧！ 作为厂商只是那现成的来用，太依赖第三方的东西，完全没有自己考虑到问题的产生。...

Umail最新版2处SQL注入漏洞可遍历数据库(续三)

简要描述： 大牛们都去挖cmseasy了，我却还在挖umail。 详细说明： Sqli 1：\client\mail\module\omail.php Line：559 if ACTION == "mail-send" ... if !$attachlist $attachlist = array ; if $FILES ... $netdiskfilesid = gss $POST'ndselectfile' ; $ndsendfilesid = gss $POST'ndsendfile' ; if $ndsendfilesid && $netdiskfilesid...

cmseasy csrf通过一个xss最后getshell

简要描述： 为什么我们要选择get类型的呢，因为get类型存储到数据库的时候触发时候管理员是察觉不到的，可以通过图片等进行操作，然后我们存储一个xss后门，这样一来，我们就可以加载一个远端的js，那么就各种无视token和referer了 详细说明： 开始我们先分析一段源代码： celive/admin/system.php:line:128-142: if$do == 'add' and $username != '' $password = addslashes$REQUEST'password'; $password = md5$password; $realname =...

VTLS Virtua InfoStation.cgi - SQL Injection

No description provided by source. !/usr/bin/env python coding: utf-8 from pocsuite.net import req from pocsuite.poc import POCBase, Output from pocsuite.utils import register class TestPOCPOCBase: vulID = '87206' ssvid version = '1.0' author = 'feng' vulDate = '2014-10-20' createDate =...

PhpWiki - Remote Command Execution

No description provided by source. / / / / / / // / / / / / / / \ | /| / / / /// / / / // / // / / // / / / / // / |/ |/ / / , / / // ,/, .// // ./|/|///|// // // // Diskovered in Nov/Dec 2011 import urllib import urllib2 import sys def banner: print " " print " / / / / /" print " / // / / / /...

ActualAnalyzer Lite 2.81 - Unauthenticated Command Execution

No description provided by source. ActualAnalyzer exploit. Tested on Lite version We load command into a dummy variable as we only have 6 characters to own the eval but load more as first 2 characters get rm'd. We then execute the eval with backticks. 11/05/2011 import urllib import urllib2 impor...

ntopng 1.2.0 - XSS Injection

No description provided by source. ntopng 1.2.0 XSS injection using monitored network traffic ntopng is the next generation version of the original ntop, a network traffic probe and monitor that shows the network usage, similar to what the popular top Unix command does. The web-based frontend of...

WooCommerce Store Exporter 1.7.5 - Multiple XSS Vulnerabilities

No description provided by source. Exploit Title: WooCommerce Store Exporter v1.7.5 Stored XSS Google Dork: inurl:"woocommerce-exporter" Date: 26/08/2014 Exploit Author: Mike Manzotti @ Dionach Vendor Homepage: http://www.visser.com.au/plugins/store-exporter/ Software Link:...

WordPress Slideshow Gallery Plugin 1.4.6 - Shell Upload Vulnerability

No description provided by source. Summary: WordPress Slideshow Gallery plugin version 1.4.6 suffers from a remote shell upload vulnerability. Found by: Jesus Ramirez Pichardo @whitexploit http://whitexploit.blogspot.mx/ Date: 2014-08-28 Vendor Homepage: http://tribulant.com/ Software: Slideshow...

Arachni Web Application Scanner Web UI - Stored XSS Vulnerability

No description provided by source. Title: Arachni Web Application Scanner Web UI Stored XSS Vulnerability CVE: 2014-5469 Vendor Homepage: http://www.arachni-scanner.com/ Author: Prakhar Prasad Author Homepage: https://prakharprasad.com Reference: https://github.com/Arachni/arachni-ui-web/issues/7...