FengCMS 1.23 /admin/app/controller/dbmanageController.php 任意文件删除漏洞

No description provided by source...

Linux Kernel ptrace/sysret - 本地提权漏洞

No description provided by source. / CVE-2014-4699 ptrace/sysret PoC by Vitaly Nikolenko [email protected] gcc -O2 pocv0.c This code is kernel specific. On Ubuntu 12.04.0 LTS 3.2.0-23-generic, the following will trigger the GP in sysret and overwrite the PF handler so we can land to our NOP sled...

金蝶政务GSiS服务平台通用上传漏洞

简要描述： GSiS政务服务平台：首个完全根据国家政策要求全新开发的，支撑政务服务体系和行政权力监督体系融合运转的一体化平台。 测试中发现存在任意文件上传漏洞，可获取webshell 详细说明： 问题：上传页面多数参数可控，导致任意文件上传,且有越权访问会员外功能问题。 收集到的案例有： 高平市政务中心 http://gk.sx.gov.cn:8080/kdgs/ 汉川政务中心 http://www.han.gov.cn:8080/kdgs 等等 通杀所有金蝶GSIS 漏洞证明： 本次演示地址为： http://gk.sx.gov.cn:8080/kdgs...

IBM GCM16/32 1.20.0.22575 - 多个漏洞

No description provided by source. Product description The IBM 1754 GCM family provides KVM over IP and serial console management technology in a single appliance. Versions v1.20.0.22575 and prior are vulnerables. Note that this vulnerability is also present in some DELL and probably other vendor...

easysite内容管理系统某简单粗暴的SQL注入

简要描述： web services是不会骗人的！ 大量gov站点采用了easysite内容管理系统。 详细说明： 1.soap注入 easysite webservice 文件： http://www.py.gov.cn/DesktopModules/CInfo/WebService/CInfoService.asmx 2.ArticleIDs参数存在SQL注入漏洞 随便找个放sqlmap里跑吧 POST /DesktopModules/CInfo/WebService/CInfoService.asmx HTTP/1.1 Host: dynamic.xmedu.gov.cn...

pageadmin注入漏洞

简要描述： rt 详细说明： 管理员登陆处。 获得管理员登陆ip并记录，获得ip方式有问题。 x-forwarded-for注入。 http://bbs.pageadmin.net/showtopic-28377.aspx 20140415 本机测试，X-FORWARDED-FOR:8.8.8.8','20140721'; select from pamember where @@version0 -- 。 官网,demo改了登陆url. /e/master/login.aspx 看ilspy里面的PageAdmin...

YXcms伪造cookie绕过验证任一用户登录

简要描述： 源代码中有对cookie的加解密函数，可以伪造cookie，而且程序使用cookie进行权限验证，可以实现任一用户登录。 详细说明： Protected/apps/members/controller/indexController.php public function login if!$this-isPost//不使用post时 $cookieauth=getcookie'auth';//此时直接从cookie中获取认证信息，我们跟进getcookie函数看能否伪造cookie绕过认证 if!empty$this-auth...

用友某通用学习管理系统设计不当致用户信息泄漏(可批量)

简要描述： 已经有大牛呵呵过了，至于是谁..自己猜去 详细说明： WooYun: 某通用型在线学习管理系统存在任意文件上传及任意文件下载漏洞 , WooYun: 某通用型在线学习管理系统存在任意文件上传漏洞（另一种奇葩姿势） 用友的e-Learning，wefgod大牛提交过，这里摘取一下他之前提供的弱口令： 首先需要一个低权限账号登录（反正没有验证码，设定好简单密码，按数字直接丢去暴了都没有问题） 给出几个默认或简单密码的： http://58.214.233.113:8800/lmsv5/ 00041013/123456 00041014/123456...

e-tiller 8 /cn/reader/appraise.aspx SQL注入漏洞

No description provided by source...

Ecmall的Sql注入第四弹

简要描述： 又把20140618的补丁看了一看。 详细说明： 顺便把之前发的任意文件删除的确认了一下? 之前图片贴错了 现在更新过来了。 这个绝对是从官网上刚下的20140618的补丁, 这次真的别再说618的补丁已经修复了。 mygoods.app.php中 function uploadimage$goodsid import'image.func'; import'uploader.lib'; $uploader = new Uploader; $uploader-allowedtypeIMAGEFILETYPE;...

FengCMS 1.21 /app/controller/contentController.php SQL注入漏洞

No description provided by source...

Startbbs 1.1.5.2 /themes/default/search.php SQL注入漏洞

No description provided by source...

xiao5uSchool 2.1 /search.asp SQL注入漏洞

No description provided by source...

DESTOON 最新版注入可提升为管理员权限

简要描述： 20140716 注入,提升权限可登陆后台 （终于要升级了..） 详细说明： 由于注册的时候 公司名称没有做什么过滤 （只是 看是否有数字 如有就不通过 反之通过） 修改资料的时候又从数据库中吧 公司名称 查出来 然后进入查询流程所导致的注入 由于 admin权限的表不是独立的 所以我们可以更新 用户组 1 - 注册 判断公司名称的代码 在 member.class.php ismember 中 124 - 130 行 if$groupid 5 ifstrlen$member'company' $L'membercompanynull'; ifpregmatch"/0-9+/...

Zoomla CMS 存在任意文件读取漏洞

简要描述： Zoomla CMS 存在任意文件读取漏洞 详细说明： 官网演示demo http://demo.zoomla.cn 后台地址http://demo.zoomla.cn/admin/login.aspx 演示账户:admin 密码：admin888 测试地址：http://demo.zoomla.cn/Admin/I/Template/TemplateEdit.aspx?setTemplate=%2fTemplate%2fV3&filepath=../../../config/AppSettings.config 其中修改installed参数为false以后 可以执行重装...

逐浪oa后台存在sql注入

简要描述： 这个能算通用吗。。 没什么技术含量 详细说明： 官网演示地址：http://oa.zoomla.cn/ 使用admin admin888登陆 注入点http://oa.zoomla.cn/Messagemanage/ViewMessageManage.aspx?id=1 没有经过任何限制，直接可以注入 http://oa.zoomla.cn/Messagemanage/ViewMessageManage.aspx?id=1 and 1=1返回正常 http://oa.zoomla.cn/Messagemanage/ViewMessageManage.aspx?id=1 and...

苹果cms7.x版本任意文件上传

简要描述： 虽然限制了文件上传类型 但是没有终止代码继续往下执行 详细说明： 问题出在 admin/editor/upload.php 第22行 if!inarraysubstr$FILEa'name',-3,3,$ftypes $errm = "文件格式不正确1 重新上传 ";//虽然限制了文件类型 但是没有代码还是能继续往下执行 if$FILEa'size' $maxSize1024 $errm = "文件大小超过了限制 重新上传 "; if$FILEa'error' !=0 $errm = "未知错误"; 漏洞证明： 随便选择一个上传点...

Doyo 建站储存型xss一枚

简要描述： rt 详细说明： doyo建站 免费开源的PHP建站系统，可广泛用于个人、企业、政府、机构等众多网站建设。 留言处。xss过滤不严。可以说是编辑器的问题。 插入如下代码 后台审核时 触发了 可以插入 盗取cookie 后台系统设置 添加上传文件类型 即可 getshel 漏洞证明：...

程氏舞曲CMS储存型 xss（6） 附后台getshell

简要描述： 大概这是最后一次 提交这个cms的xss了。。 详细说明： 黑盒几分钟就出来了。。 发表文章处。 先提交一段测试代码。 onerror onxxxx 发现 结果只剩下了 onxxxx。 那么 其机制大概是这样的。 先过滤掉 onerror之类的危险字符串。再将 标签内的onxxx给过滤掉 上次我是这样绕过的 WooYun: 程氏舞曲储存型xss 4 2处xss 如果我换成 ' 包裹住 会怎样呢？ 提交 ' onxxxx=。 这下没过滤了。剩下的就是找个没有在白名单里的 事件了。 像这样 alert ' onprogress=alert1 （该事件测试于 谷歌浏览器）...

74cms (20140709) 任意文件读取 & 注入漏洞

简要描述： 20140709. 详细说明： 20140709的74cms 在plus/weixin.php中 因为默认的这个文件都会checkSignature 来检测token 但是来看看74cms的 根本就不需要token。 $wechatObj = new wechatCallbackapiTest$dbhost,$dbuser,$dbpass,$dbname; ifisset$REQUEST'echostr' $wechatObj-valid; elseifisset$REQUEST'signature' $wechatObj-responseMsg; 来看看valid publ...

Maccms V8 储存型xss（绕过360防护）

简要描述： rt 详细说明： 自带的360防护脚本对于xss过滤太弱， 留言处没有 对html代码进行实体转义，造成xss。 如，提交 "onerror="eval'\141\154\145\162\164\50\61\51'" 后台查看留言即可触发 加载远程js可偷cookie 漏洞证明：...

TinyShop sql注入#3（ 可无限充值）

简要描述： rt 详细说明： 我们看到 /protected/controllers/ucenter.php public function infosave $name = Filter::sqlReq::args"name"; $id = $this-user'id'; $this-model-table"user"-dataarray"name"=$name-where"id=$id"-update; $this-model-table"customer"-where"userid=$id"-update; $obj = $this-model-table"user as...

TinyShop 多处sql注入#2

简要描述： rt 详细说明： 看到 /framework/lib/util/filterclass.php ...... public static function sql$str if getmagicquotesgpc $str = stripslashes$str; else //不使用主要是因为，先有mysql的连接 //$str = mysqlrealescapestring$str; $str = addslashes$str; return $str; ..... 当php为低版本或者 gpc开启（php默认是开启的吧）时。 $str = stripslashes$str...

某教育类通用cms任意文件下载漏洞

简要描述： 某教育类通用cms任意文件下载漏洞 详细说明： 不知道算不算通用 可下载web.config文件，数据库信息文件泄露 http://sbc.xzit.edu.cn/hxjc/DownLoad.aspx?Accessory=../web.config http://hedds.njutcm.edu.cn/DownLoad.aspx?Accessory=../web.config http://www.emcjs.org/DownLoad.aspx?Accessory=../web.config...

Phpyun注入漏洞二

简要描述： 刚在官网下的。 前台注入。 可以直接出管理员的帐号和密码。 无视360webscan。 详细说明： 本来以为挖不到了 无聊翻翻文件看看。 翻到了上次那个注入的文件。 model/register.class.php function regsaveaction $POST=$this-posttrim$POST; $POST'username'=iconv"utf-8","gbk",$POST'username'; $POST'unitname'=iconv"utf-8","gbk",$POST'unitname'; 省略点 ip = $this-obj-funipget;...

Boat Browser 8.0 and 8.0.1 - Remote Code Execution Vulnerability

No description provided by source. !-- .:: Remote code execution vulnerability in Boat Browser ::. credit: c0otlass social contact: https://twitter.com/c0otlass mail: [email protected] CVE reserved : 2014-4968 time of discovery: July 14, 2014 Browser Official site:http://www.boatmob.com/ Browser...

yongyouNC /hrss/ELTextFile.load.d 信息泄漏漏洞

No description provided by source...

Node Browserify 4.2.0 - Remote Code Execution Vulnerability

No description provided by source. !/usr/bin/python """ Browserify POC exploit http://iops.io/blog/browserify-rce-vulnerability/ To run, just do: $ python poc.py exploit.js $ browserify exploit.js BITCH I TOLD YOU THIS SHIT IS FABULOUS garbage output ,,,1 00:08:32 up 12:29, 3 users, load average:...

ZTE_F460 /manager_dev_config_t.gch 信息泄漏漏洞

No description provided by source...

DIR320 1.21 /bsc_wlan.php 信息泄漏漏洞

No description provided by source...

Joomla Youtube Gallery Component - SQL Injection Vulnerability

No description provided by source...

某通用型论文管理系统任意文件上传GetShell（影响多所高校）

简要描述： 详细说明： WooYun: 某通用型论文管理系统普通帐号可越权查看及修改任意用户（影响多数学校） 南京先极科技有限公司开发的一套毕业设计（论文）智能管理系统 谷歌搜索 intitle:毕业设计（论文）智能管理系统 影响案例： http://bysj.jwc.sjtu.edu.cn/ 上海交通大学毕业设计论文智能管理系统 http://202.119.81.120:8080/ 南京理工大学毕业设计（论文）管理系统 http://bylw.hhu.edu.cn/ 河海大学毕业设计（论文）智能管理系统 http://jw1.jiangnan.edu.cn/bysj/...

Shop7z sql注入1

简要描述： 详细说明： http://www.shop7z.com/Demo/orderprint.asp?id=1 17:09:55 INFO the back-end DBMS is Microsoft Access web server operating system: Windows 2003 or XP web application technology: ASP.NET, Microsoft IIS 6.0 back-end DBMS: Microsoft Access 17:09:55 INFO fetching tables for database:...

Bitdefender GravityZone 5.1.5.386 - Multiple Vulnerabilities

No description provided by source. SEC Consult Vulnerability Lab Security Advisory 20140716-3 ======================================================================= title: Multiple critical vulnerabilities product: Bitdefender GravityZone vulnerable version: 5.1.11.432 fixed version: =5.1.11.432...

建站之星敏感功能csrf 可dump数据库

简要描述： 没什么技术含量 详细说明： 后台备份数据库的功能没有防御csrf。导致csrf dump数据库。数据库的名字可控，路径已知。 在以下路径可以找到备份数据库的功能。 该请求如下：没有防御csrf 备份数据库的名字可以自定义，路径已知。可以直接获取到。 漏洞证明：...

Fengcms 最新版v1.24任意文件下载(绕过过滤)

简要描述： 之前fengcms修复了好几次这个问题，但依旧知识不对。不过到我这个应该就终结了，我会给出好的解决方案。这也不是厂商的问题，如果不是专门搞安全的人也很难考虑到这一点。 多说一句，fengcms送的礼物已经收到了，再次感谢！这种厂商要奖励，很负责！！ 官方给出的测试站已经升到最新版了，我这里测试通过，已经可以下载config.php。 详细说明： /app/controller/downController.php： class downController extends Controller public function index...

phpmywind 5.0 后台GetShell漏洞

简要描述： 这各漏洞子前被报过，但是厂商的修复不彻底。 详细说明： admin/webcongif.php 的过滤代码如下。 //强制去掉 ' //强制去掉最后一位 / $vartmp = strreplace"'",'',$row'varvalue'; ifsubstr$vartmp, -1 == '\' $vartmp = substr$vartmp,1,-1; 只过滤了最后一位的反斜杠，只需要加两个反斜杠就可以了····· 首先修改网站配置信息 configcache.php中会变成这样 $cfgwebname = '的网站'; $cfgweburl =...

OpenVPN Private Tunnel Core Service - Unquoted Service Path Elevation Of Privilege

No description provided by source. OpenVPN Private Tunnel Core Service Unquoted Service Path Elevation Of Privilege Vendor: OpenVPN Technologies, Inc Product web page: http://www.openvpn.net Affected version: 2.1.28.0 PrivateTunnel 2.3.8 Summary: Private Tunnel is a new approach to true Internet...

TongdaOA 2010 /ExecUserDefFormulas.php 代码执行漏洞

No description provided by source...

D-Link Unauthenticated UPnP M-SEARCH Multicast Command Injection

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::CmdStager def initializeinfo =...

sitestar某功能鸡肋sql(需要一定条件）

简要描述： sql injection 详细说明： sitestar没有做全局的数据转义，很容易出现遗漏的地方。 测试版本sitestarv2.7build140505 出现问题的地方在module/modorder.php 176行开始。 鸡肋的地方在于这是一个普通用户使用的积分兑换功能。需要用户最少有100积分才可以之星下面的逻辑。 public function userjifensave $integral = ParamHolder::get'exchange'; if trimSessionHolder::get'SSLOCALE' != '' // 多语言切换用...

74cms (20140709) 最新版二次注入一弹

简要描述： 74cms V3.4.20140709 不好好的修改漏洞代码 而是修改过滤函数。 虽然那过滤代码我绕不过去。。 但是还是找到了处能出数据。 在修改过滤函数的基础上,还是好好的修改代码把。 详细说明： 首先来看看过滤函数 function removexss$string $string = pregreplace'/\x00-\x08\x0B\x0C\x0E-\x1F\x7F+/S', '', $string; $parm1 = Array'javascript', 'union','vbscript', 'expression', 'applet', 'xml',...

JumboECMS v1.6.1 /file.axd 任意文件下载漏洞

No description provided by source...

Phpyun注入一枚绕过360注射附exp

简要描述： 可以引入单引号, 但是在这里也不需要引入单引号。 虽然有360 但是还是能注入出密码。 写了个小脚本来跑。（代码很渣 速度很慢 但是还是能跑完整） - - 特么的完全不会写, 太渣了。 详细说明： 在model/register.class.php中。 function ajaxregaction $post = arraykeys$POST; $keyname = $post0; if$keyname=="username" $username=@iconv"utf-8","gbk",$POST'username';...

方维团购4.3版本注射 官方演示大量数据库泄露

简要描述： .......... 详细说明： ....... 漏洞证明： Target: http://t1.fanwe.net:93/t1/index.php?m=Ajax&a=gettypeattr&typeid=123 Host IP: 112.124.32.200 Web Server: IIS Powered-by: WAF/2.0 Powered-by: WAF/2.0 DB Server: MySQL Resp. Timeavg: 168 ms Current User: [email protected] Current DB: t1 Host Name:...

HP Data Protector Manager 8.10 - Remote Command Execution

No description provided by source. !/usr/bin/python Exploit Title: HP-Data-Protector-8.10 Remote command execution. Date: July 11 2014 Exploit Author: Christian Polunchis Ramirez https://intrusionlabs.org Exploit Author: Henoch Chanoc Barrera https://intrusionlabs.org Contacts:...

D-Link HNAP Request Remote Buffer Overflow

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::HttpClient include...

Ecmall 2.0 /member.app.php SQL注入漏洞

No description provided by source...

D-Link info.cgi POST Request Buffer Overflow

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::HttpClient include...

phpok 4.0.556 /data.php SQL注入漏洞

No description provided by source...