齐博CMS特定条件下可能泄漏数据库（特定环境+特定条件）

简要描述： 特定条件下可以机智地暴力脱裤 详细说明： 齐博CMS的备份数据库存放的格式是 /cache/mysqlbak/当天日期.三个随机字母/当天备份的次数.sql 比如/cache/mysqlbak/2014-07-14.kxq 在windows条件下，使用短文件名法,外加稍微的暴力破解就能得到数据库地址 如http://127.0.0.1/v7/cache/mysqlbak/2014-01.kxq/0.sql 即可下载到数据库...

用友某没修复好可以绕过继续拿shell（HTTP Method防护绕过技巧）

简要描述： 刚上wooyun，发现有个提醒，用友一个JBOSS漏洞对我公开了。 然后就稍微看了下，还是可以继续搞进去嘛。 详细说明： 原始漏洞是这个： http://wooyun.org/bugs/wooyun-2014-065444 用/invoker/EJBInvokerServlet已经拿不到shell了，/jmx-console/也加了验证， 但是可以用HEAD方法绕过唉亲。 然后就是修改成HEAD数据包继续搞shell. 漏洞证明： 一句话shell地址：http://xiaoxi.yonyou.com/tshThSIjBouKg/XbAXCDkfoW.jsp...

Ecmall 2.0 /my_goods.app.php SQL注入漏洞

No description provided by source...

ThinkSAAS 2.2 存储型XSS(绕过防护机制)

简要描述： rt 详细说明： 富文本过滤的代码片段： function cleanJs$text $text = trim $text ; //$text = stripslashes $text ; // 完全过滤注释 $text = @pregreplace '//', '', $text ; // 完全过滤动态代码 $text = @pregreplace '//', '', $text ; // 完全过滤js $text = @pregreplace '//', '', $text ; // 过滤多余html $text = @pregreplace '//i', '', $te...

Ecmall 2.0 /my_shipping.app.php SQL注入漏洞

No description provided by source...

phpyun绕过360艰难的SQL注射

简要描述： 想在PHP云里进行一次SQL注射，真的是好难。 详细说明： 我首先发现了一个SQL注射，这个过程也不轻松。 在phpyun/model/class/action.class.php中 function getadminusershell if$SESSION'auid' && $SESSION'ashell' $row=$this-admingetusershell$SESSION'auid',$SESSION'ashell'; if!$row$this-logout;echo "无权操作！";die; if$GET'm'=="" || $GET'm'=="index" ||...

Ecmall二次注入第四弹

简要描述： 20140618 详细说明： 虽然20140618添加了防注入的 但是还是能勉强绕过。 首先注册一个会员 然后申请开店。 然后把店的名字改成 yu',user,1 and extractvalue1,concat0x5c,user 然后这里转义再入库。 在app/order.app.php中 function index if !ISPOST $goodsinfo = $this-getgoodsinfo; if $goodsinfo === false / 购物车是空的 / $this-showwarning'goodsempty'; return; /...

Ecmall 前台任意文件删除

简要描述： 删除lock之后可以重装系统 然后连接上自己搭建的mysql环境 重装后 。。。。然后就各种操作。 20140618 详细说明： 在app/mygoods.app.php中 function dropimage $id = empty$GET'id' ? 0 : intval$GET'id'; $uploadedfile = $this-uploadedfilemod-getarray 'conditions' = "f.fileid = '$id' AND f.storeid = '$this-storeid'", 'join' = 'belongstogoodsimage...

释锐教育区校版电子书包教学平台XSS漏洞

简要描述： 看到http://www.wooyun.org/bugs/wooyun-2010-051965过了，我也来了 存储型xss 详细说明： 利用官方demo测试 http://demo.31390.com:8080/eLearning/user.html 随意点击一个用户 在留言处写入xss语句 点击留言试试 直接就给弹了。。 看看源代码 毫无过滤 测试地址：http://demo.31390.com:8080/eLearning/message/s800.html 其实本身是html文件，给予xss很大空间 测试一下通用性...

FengCMS的CSRF漏洞可导致数据库被dump

简要描述： 重要功能未进行csrf token验证导致可被脱裤 详细说明： 后台管理中的数据备份功能未进行csrf token验证。 攻击者制作内容如下的csrf.php并放到attacker.com下面： 随后将http://attacker.com/csrf.php这个URL发送给受害者（网站管理员）。如果管理员在打开该URL时处于登录状态就会以管理员的身份像目标服务器发送备份数据库的请求： ?controller=dbmanage&operate=save&type=0...

74cms (20140709) 9枚注入打个包

简要描述： 不好好修改漏洞代码 而是修改过滤函数 虽然你们这过滤函数我绕不过。 但是过滤的还不是很完善, 还能出数据。 还是在修改过滤函数的同时好好修改下产生漏洞的代码把。 详细说明： 看过滤函数 function removexss$string $string = pregreplace'/\x00-\x08\x0B\x0C\x0E-\x1F\x7F+/S', '', $string; $parm1 = Array'javascript', 'union','vbscript', 'expression', 'applet', 'xml', 'blink', 'link',...

PHPMyWind后台管理界面的SQL注入漏洞

简要描述： 后台管理界面因为过滤不严格导致SQL注入漏洞，可以使权限较低的管理员取得较高权限，以及获取并修改超级管理员的用户名密码。 详细说明： 存在问题的代码，adminsave.php 59-101行，SQL语句中的$id存在注入 else if$action == 'update' //创始人账号不允许更改状态 if$id == 1 and $checkadmin != 'true' or $levelname != '1' ShowMsg'抱歉，不能更改创始账号状态！','-1'; exit; //只有超级管理员才有权修改超级管理员 if$cfgadminlevel 1 and...

74cms (20140709) 二枚二次注入

简要描述： 不好好的通过修改造成漏洞的代码 而是通过修改过滤函数。 现在的过滤函数, 虽然我是绕不过去了。 但是还是能找到几处能出数据的。 之前未通过,这次两个打个包来。 P.S:这很不好意思 之前测试demo的时候 因为有个是个update的点 忘记加where限制条件了 导致给某处全部都出数据了。。。。。 不只应该修改过滤函数,而且也应该在造成漏洞的代码好好的修复一下。 详细说明： 第一枚。 第一枚就不分析代码了。 首先注册一个企业会员 然后创建企业 单引号会被转义 然后转义入库。 找找出库的地方。 然后创建好企业后 发布招聘 如下。 点击发布后 可以看到报错了。 这里刚才的企业名出...

易思ESPCMS sql注入（demo成功）

简要描述： rt V6.0.14.07.07 UTF8 详细说明： 看了大牛们提交的 WooYun: ESPCMS最新 V5.8.14.03.03 UTF8 正式版暴力注入 下了最新版来看看，发现 加密函数 还是老样子啊- - 不过 ，查询换成 了 id 而不是 username了， 但是 id 是 intval的。 function membercookieview$keyword = false $retrunstr = array; $retrunstr'username' = $this-fun-eccode$this-fun-accept'ecispmemberusername...

PCMAN FTP 2.07 PORT 命令 缓冲区溢出漏洞（0day）

No description provided by source. Exploit Title: PCMAN FTP 2.07 PORT Command Buffer Overflow Exploit Date: 07 13,2014 Exploit Author: niubl Version: 2.07 Tested on: Windows xp sp3 chinese Email: [email protected] thank for Mahmod Mahajna. i learn from him. 漏洞太多了这个版本软件 import socket as s from sys...

亿邮邮件系统SQL导致批量GetShell（无需登录）

简要描述： 亿邮邮件系统SQL导致批量GetShell（至少几百个单位） 详细说明： 漏洞文件：\php\bill\printaddfeelog.php 执行任意SQL命令，且不受GPC影响。 默认MYSQL都是有权限导出文件权限的，可以导出一句话后门。 query$sql; ? 利用代码： POST /php/bill/printaddfeelog.php HTTP/1.1 Content-Length: 140 Host: mail.sihs.edu.cn User-Agent: Mozilla/5.0 Windows; U; Windows NT 6.2; zh-CN;...

Hdwiki最新版二次注入一枚

简要描述： 上Hdwiki官网 发现更新日期一直都没变。 还以为一直都没更新了, 结果今天下载一个下来看看。 发现之前发的洞竟然都补掉了。 非盲注 直接出数据。 ps. 更新程序了应该还是把日期更新了一下 要不别人会一直以为没更新的。 详细说明： 在user/pms.php中 function doblacklist ifisset$this-post'blacklist' $blacklist = htmlspecialcharsstring::stripscript$this-post'blacklist'; ifempty$blacklist $result =...

C99.php Shell - Authentication Bypass

No description provided by source. Exploit Title: C99 Shell Authentication Bypass via Backdoor Google Dork: inurl:c99.php Date: June 23, 2014 Exploit Author: mandatory Matthew Bryant Vendor Homepage: http://ccteam.ru/ Software Link: https://www.google.com/ Version: 1.00 beta Tested on:Linux CVE:...

Hdwiki 二次注入第二弹

简要描述： 上Hdwiki官网 发现更新日期一直都没变。 还以为一直都没更新了, 结果今天下载一个下来看看。 发现之前发的洞竟然都补掉了。 —————————————————————————————————— ps. 更新程序了应该还是把日期更新了一下 要不别人会一直以为没更新的。 详细说明： 在control/doc.php中 function doedit $this-anticopy; ifisset$this-post'predoctitle' $title = $this-post'predoctitle';...

Ecmall的SQL注入第三弹

简要描述： RT。 详细说明： 首先注册一个会员 然后申请开店 ECmall 在添加一个商品的时候可以从csv 中导入 看看代码。 在app/mygoods.app.php中 function import if !ISPOST $this-assign'noteforimport', sprintfLANG::get'noteforimport', CHARSET; / 当前页面信息 / $this-curlocalLANG::get'membercenter', 'index.php?app=member', LANG::get'mygoods',...

TurboMail邮件系统任意文件读取漏洞（需管理权限）

简要描述： TurboMail邮件系统处理日志文件时未对文件路径进行判断，导致可读取服务器上的任意文件。 详细说明： 邮件后台管理进行“WEB日志查看”时存在任意文件读取漏洞。 漏洞代码位于TomcatLogAjax.class，其中getLog函数读取web服务器日志文件的源代码实现如下： publicstatic void getLogHttpServletRequest request, HttpServletResponse response throws ServletException, IOException MailSession ms =...

Infoblox 6.8.2.11 - OS Command Injection

No description provided by source. Product: Network Automation, licensed as: • NetMRI • Switch Port Manager • Automation Change Manager • Security Device Controller Vendor: Infoblox Vulnerable Versions: 6.4.X.X-6.8.4.X Tested Version: 6.8.2.11 Vendor Notification: May 12th, 2014 Vendor Patch...

方维团购 4.3 /app/source/goods_list.php SQL注入漏洞

No description provided by source. !/usr/bin/env python coding: utf-8 from pocsuite.net import req from pocsuite.poc import POCBase, Output from pocsuite.utils import register class TestPOCPOCBase: vulID = 'SSV-87131' vul ID version = '1' author = 'fenghh' vulDate = '2014-07-11' createDate =...

Ecmall某处SQL二次注入第三弹

简要描述： 20140618 详细说明： 虽然在20140618的防注入补丁添加了防注入代码 但是还是能勉强绕过。 在app/mygoods.app.php中 function edit $id = empty$GET'id' ? 0 : intval$GET'id'; if !ISPOST $this-assign'goods', $this-getgoodsinfo$id; / 取得商品分类 / $this-assign'mgcategories', $this-getmgcategoryoptions0; // 商城分类第一级 $this-assign'sgcategories',...

FengCMS绕过补丁依旧任意文件下载

简要描述： 非常感谢各位白帽子的辛勤工作！FengCms安全测试站地址：http://guf521656.h163.92hezu.org/ 已经升级到最新版本 有效期2014-7-8至2014-7-15 欢迎各位安全界的朋友帮我们寻找安全漏洞！作为一个小小的创业团队，对各位朋友对FengCms的关注表示衷心的感谢！@路人甲 唉 厂商今天又艾特了，本来不想再看的。。 详细说明： app/contorller/downController.php alert"您要下载的文件不存在！";history.back;'; else echo...

华天动力oa系统n多处xss漏洞大礼包专业盲打管理（最后一发，实在没挑战性）#3

简要描述： xss 详细说明： 本处仅举例一个地方，其他地方同理，除了论坛之外，只要能写的地方就存在xss，我网速太卡了，只测试了几处，这里我只例举一处 你们慢慢测试吧，实践中成长。。。。 客户管理--竞争对手--新建对手 插入xss代码如下图 admin登陆后台查看 漏洞证明： 详细说明...

客客系统存在安全漏洞，导致用户可以随便改变余额（刷钱）

简要描述： 【客客系统】 贵系统模拟了registerglobals导致用户可以传递任何变量的值给你 如果传递了敏感的参数，比如余额balance字段的值，你又保存了。 就会发生漏洞。 详细说明： 改变余额的，只需改变space表balance字段的值。 而账户设置正好设置space字段信息 通过post传递balance的值给你，就能修改用户余额。 如：post ：formhash=f955cc&confbalance=99999 用户余额就改为99999了！ 漏洞证明：...

Ecmall某处SQL二次注入第一弹

简要描述： 20140618 详细说明： 20140618做了些过滤但是还是能勉强绕过 首先注册一个会员 然后发布以上商品 然后转义入库 入库后转义符消失 商品名称 商品分类 品牌 价格 库存 上架 推荐 禁售 操作 全选 xxx'and extractvalue1,concat0x5c,user,1,1,1,1 10.00 100 可编辑 可编辑 编辑 | 删除 发布一个如上的商品 然后找找出库的地方 在app/cart.app.php中 function add $specid = isset$GET'specid' ? intval$GET'specid' : 0; $quanti...

FengCms 1.19 /admin.php 登录绕过漏洞

No description provided by source...

maccms 8 /index.php SQL注入漏洞

No description provided by source...

sitestar v2.7 /uploadify.php 文件上传漏洞

No description provided by source...

fengcms任意文件下载

简要描述： 2014-07-08 12:40 | FengCMS乌云厂商 0 FengCms安全测试站地址：http://guf521656.h163.92hezu.org/ 有效期2014-7-8至2014-7-15 欢迎各位安全界的朋友帮我们寻找安全漏洞！作为一个小小的创业团队，对各位朋友对FengCms的关注表示衷心的感谢！ 既然官方这么说了，我帮个小忙吧，可获得认证码、数据库账号密码等。就用官方给的演示站做测试。不知道你们有没有小礼物呢？ 详细说明： /app/controller/downController.php 代码如下： class downController...

phpmps通用SQL注入（demo测试成功）

简要描述： phpmps通用SQL注入（demo测试成功） 详细说明： 版本下载地址： http://www.phpmps.com/down/phpmpsv2.3build140305utf8.zip http://www.phpmps.com/demo/admin/login.php 使用admin/gxy123123登录成功： SQL注入EXP：...

Ecmall V2.3.0-UTF8 正式版暴力注入（爆破）

简要描述： RT，打了最新补丁 详细说明： 存在两个问题，最新版未修补： 1.后台可被爆破，导致暴力注入；（很多SQL注入点最终是为了进后台，那么这里直接暴力点） 2.模板编辑下可得shell。 漏洞证明： 暴力注入： 1.在后台登录页，点击登录后抓包： 2.设置爆破字段为password： 3.不要看burp返回，直接再次刷新页面，登录成功！ 拿shell的方法： 1.看下图，点击编辑（这一列的都可以编辑）： 2.写入shell： 3.访问这个地址： http:/...

SugarCE 6.5.1 /RSSDashlet.php 本地文件包含漏洞

No description provided by source...

Discuz x！一个鸡肋SQL漏洞

简要描述： 在一定的情况下可以破坏SQL逻辑。 详细说明： 这个有点不靠，不靠谱的前提： 1，http://drops.wooyun.org/papers/1404 2，arp 3，有其他方法获取siteuniqueid，按照安装的算法来暴力破解或其他 在dx/api/google/google.php内ongtt函数内有一段代码： $posts = getgpc'post' ? explode',', getgpc'post' : array; if$posts $posts0 = intval$posts0; $posts1 = intval$posts1; $posts =...

phpdisk代码设计缺陷导致SQL注入一枚

简要描述： 攒wb 详细说明： 漏洞存在版本为PHPDisk F-Core系列 测试版本为PHPDisk F-Core v1.1 20140703 SQL注入在发布资源时被触发，参数posttag为注入点，上代码 /modules/post.inc.php，第124行左右 $db-queryunbuffered"insert into $tpfposts set ".$db-sqlarray$ins.""; $pid = $db-insertid; maketags$tags,$tagarr,$pid; //注入点 $db-queryunbuffered"update...

Yokogawa CS3000 BKFSim_vhfd.exe Buffer Overflow

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::Udp def initializeinfo =...

Tccms sql注入一枚。（绕过防护机制）

简要描述： rt 详细说明： 直接看到/app/model/attackAction.class.php这个文件 public function initLogHacker /get/ foreach$GET as $key=$value if !inarray$key, array'ac','a','c','do'//防止控制器和方法命名不规范被过滤 $this-StopAttack$key,$value,"get",$this-getfilter; $GET$key = StringUtil::safereplace$value; $GET$key =...

Photo Org WonderApplications 8.3 iOS - File Include Vulnerability

No description provided by source. Document Title: =============== Photo Org WonderApplications v8.3 iOS - File Include Vulnerability References Source: ==================== http://www.vulnerability-lab.com/getcontent.php?id=1277 Release Date: ============= 2014-07-04 Vulnerability Laboratory ID...

Dolibarr CMS 3.5.3 - Multiple Security Vulnerabilities

No description provided by source. Vulnerability Name: SQL injection Severity: Critical URL: http://localhost/dolibarr/user/fiche.php Affected Users: All authenticated users Issue details: The "entity" parameter appears to be vulnerable to SQL injection attacks. A single quote was submitted in th...

Qibocms 1.0 /hy/choose_pic.php SQL注入漏洞

No description provided by source...

EmpireCMS(帝国cms)csrf getshell

简要描述： EmpireCMS帝国cmscsrf getshell 最新版本。 详细说明： 参见漏洞: WooYun: 帝国CMS CSRF GetShell 帝国cms默认添加栏目时候默认是允许投稿。 另外帝国的会员中心基本都是开启的，有的就算不开启也是可以匿名投稿。 漏洞证明： 图1所示，帝国添加栏目时候默认是开启投稿的。 图2所示，虽然过滤的，但是未过滤img中的污染数据。这个地方插入 也就是http://127.0.0.1/1.js，1.js代码看这里 WooYun: 帝国CMS CSRF GetShell 图3所示：管理员看到未审核内容时候点击标题可以查看内容。 img...

ecshop 2.7.3 /flow.php 登录绕过漏洞

影响文件:flow.php 188行开始elseif $REQUEST'step' == 'login' includeonce'languages/'. $CFG'lang'. '/user.php'; / 用户登录注册 / if $SERVER'REQUESTMETHOD' == 'GET' ..... else includeonce'includes/libpassport.php'; if !empty$POST'act' && $POST'act' == 'signin' $captcha = intval$CFG'captcha'; if $captcha &...

Frog CMS 0.9.5 - Arbitrary File Upload

No description provided by source. Exploit Title: Arbitrary File Upload in Frog CMS 0.9.5 Date : 2014-07-07 Exploit Author : Javid Hussain Vendor Homepage : http://www.madebyfrog.com Exploit-DB Note: All authenticated users can upload files. If the file does not have execute permissions the CMS...

TinyShop二次注入一枚。

简要描述： rt TinyShop v1.0.2 详细说明： 还是 protected\controllers\simple.php文件 public function orderact ................. $address = $model-table"address"-where"id=$addressid"-find; //if!$address$this-redirect"order",false,Req::args; //if!$paymentid$this-redirect"order",false,Req::args; $data'orderno' =...

kppw威客系统SQL注入一枚

简要描述： rt 详细说明： 注册处。 function checkall$regusername, $regemail, $regcode global $lang,$K; $res1 = $this-checkip ; if$K'do' $url = 'index.php?do='.$K'do'; else $url = 'index.php?do=register'; $res1 === true or $result = $res1; $res2 = $this-checkusername $regusername ; $res2 === true or $result =...

Yxcms后台文件遍历任意删除文件漏洞(攻击中适用于旁站的时候)

简要描述： 后台文件遍历任意删除文件 详细说明： 首先，说下漏洞的危害，例如我要入侵一个站点，但是无法从主站入侵，那么就从旁站，刚好有一个yxcms的站点，好啦，这时候这个漏洞就有用了 进入后台之后，点击进入上传文件管理，之后我们随便点击进入一个目录，这个时候记得抓包哦 看到dirget=%2C%2Cphotos，那么我们如果将dirget后面的改为../会怎么样呢，试试看 看看结果 哈哈，目录变了，看看是不是到了上一级的目录 是吧，我们再试试回到更前面的目录 回到了我们网站群的目录，如果假设...

用友人力资源管理（e-HR）SQL注入漏洞

简要描述： ----------------------------------- 说点啥 详细说明： /hrss/rm/PositionDetail.jsp文件中PKEMPTYJOB参数存在SQL注入漏洞 直接丢SQLMAP里跑： http://219.140.193.253/hrss/rm/PositionDetail.jsp?PKEMPTYJOB=1001A11000000000G9WA& GET parameter 'PKEMPTYJOB' is vulnerable. Do you want to keep testing the others if any? y/N N...

Discuz 7.2 /post.php 跨站脚本漏洞

No description provided by source...