JEECMS任意命令执行漏洞（涉及大量案例，Administrator权限）

简要描述： JEECMS任意命令执行漏洞（涉及大量案例，Administrator权限） 详细说明： 谷歌搜索：inurl:jeecms/ArtiSearch.do 涉及大量案例 http://www.wwxzfw.gov.cn/jeecms/ArtiSearch.do?count=10&searchKey=a%27+and+1%3D1&chnlId= http://www.cnfamily.com/family/jeecms/ArtiSearch.do?count=10&searchKey=%C1%BD%BB%E1...

用友软件协作办公平台通用DBA权限SQL注入漏洞之二

简要描述： RT 详细说明： 谷歌关键字： intitle:"fe协作" 注入点： common\selectUDR.jsp?id= 漏洞证明： 1.http://119.145.194.122:9090/common/selectUDRTree.jsp?id=1 2.http://220.168.210.109:9090/common/selectUDR.jsp?id=1 img src="https://images.seebu...

Fengcms v1.25 SQL注入漏洞2

简要描述： 过滤问题导致sql注入 详细说明： app/controller/searchControl.php public function index if$POST'project' if!$this-projectexist$POST'project'//POST的project直接被放入函数 echo 'alert"参数错误！";history.go-1'; 。。。 跟进projectexist函数 public function projectexist$string ifD"module"-where'project="'.$string.'" and...

用友协作办公平台通用多处SQL注入

简要描述： RT 详细说明： 开发公司：用友软件 程序名称：FE协作办公平台 漏洞类型：SQL注入（GET） 漏洞文件：assetsGroupReport目录下多文件存在注入 /assetsGroupReport/vendorContacts.jsp?unitCode=11&cVenCode=22&startDate=2012-01-01&endDate=2012-02-01...

Samba 2.2.8 trans2open 缓冲区溢出漏洞 (Mac OS X PPC)

No description provided by source...

Samba lsa_io_trans_names 堆溢出漏洞

No description provided by source...

MacOS Arkeia Backup Client Type 77 缓冲区溢出漏洞

No description provided by source...

Alien Invasion IRC Client 缓冲区溢出漏洞

No description provided by source...

AppleFileServer LoginExt PathName 缓冲区溢出漏洞

No description provided by source...

用友软件协作办公平台多处漏洞（SQL注入漏洞、越权查看敏感信息）

简要描述： RT 详细说明： 谷歌关键字： intitle:"fe协作" 注入点： witapprovemanage\report\staffleaveana.jsp?userid= 漏洞证明： 1.http://220.168.210.109:9090/witapprovemanage/report/staffleaveana.jsp?userid=1 2.http://fsd2014.f3322.org:9090/witapprovemanage/report/staffleaveana.jsp?userid= img...

php云问答功能处存储型xss

简要描述： 需要主动触发。 详细说明： http://www.hr135.com/ask/index.php 测试地址：http://www.hr135.com/ask/index.php?c=content&id=162 超级链接写入：javascriptalert1 &NewLine是HTML5新增的实体命名编码 firebug之类工具修改链接名称增加欺骗性 成功触发JS 使用追问功能再次添加超级链接：javascriptalertdocument.cookie 成功弹出cookie 漏洞证明：...

CMSEASY防护代码设计缺陷导致防御绕过

简要描述： CMSEASY 最新版 55020140802防护代码设计缺陷导致防御绕过 详细说明： 为什么要说“CMSEASY防护代码设计缺陷导致防御绕过”而不提360webscan有问题，这是因为只有CMSEASY一家是这样配置360webscan的，其他家并无出现以下问题！ 因此，这并不是360的通用问题，而属于CMSEASY设置问题！ 我们看下CmsEasy/webscan360/360safe/webscancache.php $webscanwhiteurl = array array'index.php' = 'admindir=admin', array'index.php...

ThinkSAAS前台Getshell

简要描述： 一个二次操作造成的getshell。 官网又挂加速乐，又审核什么的，懒得测试官网了，就麻烦审核大人本地测试拉 详细说明： 说一下原理吧。 /app/photo/action/album.php 245行 //批量修改执行 case "infodo": //用户是否登录 $userid = aac'user'-isLogin; $albumid = intval$POST'albumid'; $albumface = tsClean$POST'albumface'; $arrPhotoId = $POST'photoid'; $arrPhotoDesc =...

ThinkSAAS 2.2 存储型XSS

简要描述： 挖最后一个。。。然后干活去了。。。这个绕过和之前几个都不一样，各浏览器通用、无触发条件、可盗取cookie并getshell、绕过全局防过滤函数，非重复漏洞。 详细说明： 既然挖thinksaas，那么就看看他的富文本XSS究竟过滤好了没。 可惜还是让我失望了。不过也不是厂商的错，毕竟这东西确实很难做的完美。我会在漏洞修复处给一个很好解决方案。 先看原理吧。 function cleanJs$text $text = trim $text ; //$text = stripslashes $text ; // 完全过滤注释 $text = @pregreplace '//',...

YXcms全版本任意文件删除导致重装

简要描述： 2014年8月11日早上下载的源码 应该最新了 某处过滤不严 详细说明： \protected\apps\member\controller\photoController.php 下的delpic函数 public function delpic ifempty$POST'picname' $this-error'参数错误'; $picname=trim$POST'picname'; $path=$this-uploadpath; $lasts=strtolowersubstr$picname,-3;...

Fengcms v1.25 SQL注入漏洞

简要描述： 过滤不严，绕过并注入 详细说明： Template/article.html和Template/articleclass.html中 $classid=$GET‘classid’//直接GET传入 最新推荐 loop M"module"-l"article","wclassid='$classid'&&attribj=1&&status=1;ftitle,html,date;n10;sid,1" $k $v //classid直接带入查询 date'm/d',strtotime$v'date'$v'title' /loop 下面的一样，就省略了...

逐浪cms多处绕过验证导致的安全问题。

简要描述： RT 详细说明： 哎，通过DEMO的测试站点来枚举一下吧 http://demo.zoomla.cn/Admin/I/Shop/Orderlistinfo.aspx?id=9 http://demo.zoomla.cn/Admin/I/Content/ShowContent.aspx?GID=43&modeid=19 http://demo.zoomla.cn/Admin/Template/LabelManage.aspx http://demo.zoomla.cn/Admin/Content/NodeManage.aspx...

ESPCMS_csrf利用后台sql注射getshell

简要描述： 这两天再写csrf的一些东西，所以拿了ESPCMS做了一个演示，这里只是其中一个意外发现，后续还有csrf更狠的地方，总之一句话漏洞利用是一门艺术，我会提供一个csrf另外一种思路去让管理员只交互一次，然后轻松拿下站点shell，就我分析应该各大cms，都可以按照这个思路去做！！！ 详细说明： 好了 废话不多说了 首先我们安装完毕espcms 然后登录到后台 问题就出在了，上传证书这一块，直接看代码， adminsoft/control/management.php:lines:802-815 if !fileexists$filetmpname $isupfiletrue ...

逐浪cms某处越权加注入(绕过防注入)

简要描述： RT 详细说明： 好看到多人都在挖啊，于是发现官网的demo站点也更新了哦。 果断捡捡便宜。 http://demo.zoomla.cn/Admin/i/Shop/OrderList.aspx?Province=&city= Province参数和city参数过滤不严，未加验证，导致直接可以注入啊。 漏洞证明： 漏洞验证： http://demo.zoomla.cn/Admin/i/Shop/OrderList.aspx?Province=1%27%20aNd%021=@@version%20aNd%02%271%27=%271&city=...

eYou v4 /php/bill/print_addfreelog.php SQL注入漏洞

No description provided by source...

TimThumb 2.8.13 代码执行漏洞

No description provided by source...

ThinkSAAS 2.2 GET型CSRF到Getshell

简要描述： 后台Getshell本想在XSS漏洞里一起提交的。。。结果我给忘了。 不过后来发现这个洞是Get型的CSRF，利用方便，老少咸宜，在社区CMS中可以说威力无限呀。 详细说明： /app/system/action/plugin.php 83行： case "delete": $apps = $GET'apps'; $pname = $GET'pname'; delDir'plugins/'.$apps.'/'.$pname; qiMsg'删除成功！'; break; 获得了GET到的值以后拼接成路径以后传入delDir函数。delDir函数： / 删除文件夹和文件夹下所有的文...

SOAPpy 0.12.5 /Parser.py XML注入漏洞

No description provided by source...

TinyShop V1.0.3 储存型xss一枚。

简要描述： rt 详细说明： 感觉对于TinyShop来说 xss危害还大一些。。因为sql注入出来的数据 密码md5加盐的 不一定解得出，xss的话除非这个站不要了。不然必定是会触发的。。（商城系统嘛） 位于 修改地址处。的addr参数， 如果出现同时出现 的话 会被过滤，单独出现 就不会过滤，然而我们真的需要同时出现才能执行 xss么？ 程序员 可以自己做个测试 这段代码是否可以alert 修改addr参数为 成功偷取到管理员的cookie及其他信息 漏洞证明：...

DZ所有版本都存在一个设计缺陷

简要描述： 试试可以不先吧。 详细说明： 不会分析源码。。木有去分析了。。 最新版本。。目测所有版本都存在。。我们来数据库备份下。 恭喜您，成功创建 3 个备份文件，备份全部完成。 ./data/backupf4b1fa/140811tv3zcb3Z-1.sql ./data/backupf4b1fa/140811tv3zcb3Z-2.sql ./data/backupf4b1fa/140811tv3zcb3Z-3.sql 这个。看起来很长似得。。 data/backupf4b1fa/140811tv3zcb3Z-1.sql...

Shop7z多个漏洞大礼包

简要描述： 前台存储型XSS打后台，后台限制不严导致敏感数据访问，自己给自己充值TAT，等等···· 详细说明： 0x01 前台XSS，使用官方最新的免费版源代码 在注册用户的时候，地址当中输入XSS代码 " 如图 然后注册，显示注册成功 这时候查看一下后台---会员信息管理--会员管理---该会员详细信息 可以看到xss代码已经插进去了 而xss平台也能收到cookies信息 0x02 未授权访问 http://127.0.0.1/admin/huiyuandetail.asp?id=831 该地址在免费版中未做权限检查，导致可以直接在这里遍历会员信息，同时可以修改任意会员信息 相关代...

CmsEasy 5.5 /celive/live/index.php SQL注入漏洞

No description provided by source...

ECSHOP后台注入

简要描述： 后台注入，但是要登录............. 详细说明： upload/admin/agency.php 48行开始 elseif $REQUEST'act' == 'query' $agencylist = getagencylist; //跟踪这个函数 $smarty-assign'agencylist', $agencylist'agency'; $smarty-assign'filter', $agencylist'filter'; $smarty-assign'recordcount', $agencylist'recordcount';...

Sphider-Search-Engine 1.3.6 /sphider/admin/admin.php SQL注入漏洞

No description provided by source...

ZeroCMS 1.0 /zero_transact_user.php 跨站脚本漏洞

No description provided by source...

Sphider-Search-Engine 1.3.5 /sphider/admin/admin.php 登录绕过漏洞

No description provided by source...

shopnc b2b /modules/microshop/index.php 任意文件删除漏洞

No description provided by source...

SHARP MX Series - Denial of Service

No description provided by source. Exploit Title: SHARP MX Series - Denial Of Service Date: 08/08/2014 Exploit Author: pws Vendor Homepage: Sharp Printers Firmware Link: Not found Tested on: Latest version Shodan d0rk: "SHARP Telnet server" 4000 devices CVE : None yet $ python -c 'print "A"200 +...

骑士CMS存储型等XSS

简要描述： 你们防护做的挺好，我X的十分不容易，加上漏洞影响，自评16rank/,/ 走小厂商又只有1/4rank不如给20吧 —，— 详细说明： 1 先来个 反射型xss 当开胃小菜 地址：http://demo.74cms.com/jobs/jobs-list.php?key=%c0%22;evalString.fromCharCode97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41// 影响：通杀全部浏览器 详情： 主页搜所后源码定位...

逐浪CMS随意xss

简要描述： 去了你们测试站点，测试站太烂，随意X了俩走人。。。 详细说明： http://demo.zoomla.cn/guest/GuestShow.aspx?GID=1 测试不顺因为无缘无故就这样，还让不让人测试 1 留言 地址：http://demo.zoomla.cn/guest/GuestShow.aspx?GID=1 方法： 源码编辑功能删了吧。。。 2 搜索 主页搜索框输入 输出1 输出2 https://images.seebug.org/uploa...

VM-Turbo-Operations-Manager 4.5.x /cgi-bin/help/doIt.cgi 任意文件读取漏洞

No description provided by source...

D-Link-AP3200 4.06 /Forms/FormCfgWireless 登录绕过漏洞

No description provided by source...

用友某办公平台SQL通杀注入漏洞（无需登录）

简要描述： 详细说明： 涉及客户群体为： 大型企业（如：拉芳集团等等超大企业）、学校（北京师范）、医药、政府（如：珠海市人民防空办公室、广东省渔政总队珠海支队、广东煤炭地质局等等。。。）、能源（电网）、银行等等。。。 通过关键字搜索如下： intitle:"fe协作" http://oa.bamatea.com http://oa.moonbasa.com http://oa.etonetech.com http://oa.ztcz.cn http://218.249.130.74 http://119.146.190.170:9988 http://zhidao.baidu.com...

用友TurboCRM SQL盲注(通杀所有版本)

简要描述： 最近用友高产，不知道重复没； 详细说明： 漏洞文件： /background/recievesms.php /background/timeoutlogin.php $sql = "UPDATE tcbackgroundtask SET planstarttime=".tdbtodatebystring $timestr ." WHERE orgid=0 AND bgtaskid=".$ID; $gblDB-execute $sql ; $sql = "SELECT bgserverip FROM tcbackgroundtask WHERE orgid=0 AND...

Sky Broadband Router SR101 - Weak WPA-PSK Generation Algorithm

No description provided by source. Exploit Title: Sky Broadband Router – Weak algorithm used to generate WPA-PSK Key Google Dork: Date: 08/08/2014 Author: Matt O'Connor / Planit Computing Advisory Link: http://www.planitcomputing.ie/sky-wifi-attack.pdf Version: Category: Remote Tested on: Sky SR1...

用友某办公平台任意文件上传导致代码执行漏洞（无需登录）

简要描述： 详细说明： 上一枚： WooYun: 用友某办公平台任意文件上传导致代码执行漏洞（全版本） intitle:"fe协作" 看问题代码 在\system\mediafile\fileupload.jsp中 None shell直接在根目录当中，为test.jsp http://oa.peizheng.net.cn/test.jsp 漏洞证明： http://oa.peizheng.net.cn/test.jsp...

看我手动解密wdLinux所有PHP文件

简要描述： wdLinux的PHP文件,加密超级简单,大家快来挖洞呀 wdcpv2.5.tar.gz里面的PHP已经全部解密 详细说明： 偶然看到wdLinux这套系统, 发现使用PHP插件进行加密的, 觉得很好玩就尝试解密. 漏洞证明： 算法超级简单, 有一个写死的key, 10位. 加密的时候首先用zlib压缩, 然后按照一定算法逐个和这个key做xor运算. 最后补一个文件头作为识别码. 已经成功全盘解密, 贴个文件: 最后贴下perl代码吧: sub wddecode my @data = unpack 'C', substr readfile $0, 9; my @key =...

程氏舞曲CMS论坛存储型XSS

简要描述： 洞被X了不少，留给我的太少。。。 我何时能 1个Ⅹ10个 详细说明： 1 发帖或者回复时插入文件，url构造成恶意地址，写上诱人的标题 利用firebug之类的工具修改html，这里我删除了target属性，页面就不会再新页面打开，还可以尝试添加属性。 地址：http://bbs.home.chshcms.com/index.php/show/index/17 2（和第一个差不多呢） 创建一个链接 当然不能让恶意地址暴露，修改成“诱人”的地址。 地址：http://bbs.home.chshcms.com/index.php/show/index/17...

逐浪CMS 任意文件下载+任意文件删除（无需登录）

简要描述： 逐浪最新版 任意文件删除 任意文件下载 详细说明： 在此请求逐浪cms 重视每个白帽子提交的漏洞 不要老是漏洞忽略 地址 http://demo.zoomla.cn/USER/Develop%5CSiteAdmin/BackupSite.aspx 源码如下 protected void PageLoadobject sender, EventArgs e this.MU = this.BU.GetLogin; if base.Request.QueryString"status" == "del" //任意文件删除...

逐浪CMS注入漏洞两处

简要描述： 无需登录，完美的注射点！ 详细说明： 0x1 AppWebrckpp0om.dll Userfile 类，PageLoad事件就有问题 if base.Request"state" != null && base.Request"state" == "tr" string str4 = base.Request.QueryString"FD"; this.FileUrl = this.FileJiemastr4; this.hid.Value = str4; this.file = this.bfile.SelectFilestring.Concatnew object "...

逐浪cms sql注入 一个文件 多个参数

简要描述： 逐浪cms最新版sql注入 详细说明： 逐浪最新版 sql注入 可以注册普通用户 访问 http://demo.zoomla.cn/User/Register.aspx 随便注册一个用户 test1234 密码123456 访问 http://demo.zoomla.cn/User/Login.aspx?ReturnUrl= 登录 访问 http://demo.zoomla.cn/User/UserFriend/FriendSearch/FriendquickSYResult.aspx 源码如下 protected void PageLoadobject sender,...

金蝶随手记某接口限制不严可撞号可暴力破解

简要描述： 随手记iOS客户端API限制不严，可撞号或暴力破解。 详细说明： 直接从网站http://www.feidee.com/money/登陆是有一定限制的，错误几次就会提示禁止登陆。 但是iOS客户端API无限制，可以直接扫号和暴力破解。 随便找了个数据库，10分钟扫到5000枚账号,试了几个号，部分是VIP会员。 密码SHA1 : 漏洞证明： 可查看他人收支明细：...

逐浪MALL通用某处存储型xss

简要描述： 盗取cookie咯 详细说明： 问题出现在http://mall.zoomla.cn/，也就是 Zoomla!逐浪CMS网店管理系统 在 站内短消息 处内容和主题都没有过滤，导致xss的触发 如图发送xss语句给abc123用户 分别弹框和获取用户cookie 我们换成abc123用户看看 并没有触发，别急，阅读看看 触发了，看看代码 分别两处都没过滤哦 获取到的cookie https://images.seebug.org/upload/201408/0816521512f8e8fa...

程氏舞曲CMS最新版再次绕过过滤存储型XSS

简要描述： 继昨天修复的过滤方法，再来一发。。 详细说明： 看了一下昨天修复的代码，就是在第二个字符处添加了一个，于是各种焦头烂额都不行了。。再次研究上下的代码： function uhtml$str $farr = array "/\s+/", //过滤多余的空白 "/?/isU", "/ona-zA-Z+\s=^/isU", ; $tarr = array " ", " ", "\1\2", ; $str = pregreplace $farr,$tarr,$str; //return $str; return removexss$str;...

WordPress 3.9.2 /xmlrpc.php 拒绝服务漏洞 poc

No description provided by source. CVE-XXXXX Wordpress and Drupal XML Blowup Attack DoS Author: Nir Goldshlager - Salesforce.com Product Security Team This is a Proof of Concept Exploit, Please use responsibly. !/usr/bin/env python from future import printfunction import threading import time...