漏洞出现在:class ：  mem_issueprotected void Page_Load(object sender, EventArgs e) //页面加载事件 { //method_15 这里判断变量 A-Z 0-9 method_16转换为int 成功返回TRUE 前面没什么好看的 看下面 this.method_4(); if ((!this.method_15(this.Request.QueryString["table"]) || !this.method_16(this.Request.QueryString["detailid"]) ? 0 : (this.method_16(this.Request.QueryString["workid"]) ? 1 : 0)) == 0) { this.Response.Write("alert('参数错误!');parent.CloseDialog()"); this.Response.End(); } if (this.Request.QueryString["from"] == "master") { Master_Valicate masterValicate = new Mas ...继续阅读 (17)

前台注入在/chanzhieps/system/module/cart/control.php页面的add函数public function add($product, $count) { if($this->app->user->account == 'guest') { /* Save info to cookie if user is guest. */ $this->cart->addInCookie($product, $count); $this->send(array('result' => 'success', 'message' => $this->lang->saveSuccess)); } else { $result = $this->cart->add($product, $count); if($result) $this->send(array('result' => 'success', 'message' => $this->lang->sa ...继续阅读 (20)

在tpl.php中/*--------------------------- function savetagfile() { } 保存标签碎片修改 --------------------------*/ else if($action=='savetagfile') { if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename)) { ShowMsg('文件名不合法，不允许进行操作！', '-1'); exit(); } require_once(DEDEINC.'/oxwindow.class.php'); $tagname = preg_replace("#\.lib\.php$#i", "", $filename); $content = stripslashes($content); $truefile = DEDEINC.'/taglib/'.$filename; $fp = fopen($truefile, 'w'); fwrite($fp, $content); fclose($fp); $msg = "测试标签：(需要使用环境变量的不能在此测试){dede:{$tagname} }{/d ...继续阅读 (22)

在tpl.php中/*--------------------------- function savetagfile() { } 保存标签碎片修改 --------------------------*/ else if($action=='savetagfile') { if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename)) { ShowMsg('文件名不合法，不允许进行操作！', '-1'); exit(); } require_once(DEDEINC.'/oxwindow.class.php'); $tagname = preg_replace("#\.lib\.php$#i", "", $filename); $content = stripslashes($content); $truefile = DEDEINC.'/taglib/'.$filename; $fp = fopen($truefile, 'w'); fwrite($fp, $content); fclose($fp); $msg = " <form name='form1' action='tag_test ...继续阅读 (13)

注入分析\inc\common.inc.phpphp function SecureRequest(&$var) { if (is_array($var)) { foreach ($var as $_k =$_v ) { $var[$_k] = securerequest($_v); } } else { if ((0 < strlen($var)) && preg_match("#^(MYOA_|GLOBALS|_GET|_POST|_COOKIE|_ENV|_SERVER|_FILES|_SESSION)#", $var)) { exit("Invalid Parameters!"); } if (!get_magic_quotes_gpc()) { $var = addslashes($var); } } return $var; } function CheckRequest(&$val) { if (is_array($val)) { foreach ($val as $_k => $_v ) { checkre ...继续阅读 (31)

注入分析\inc\common.inc.php<?php function SecureRequest(&$var) { if (is_array($var)) { foreach ($var as $_k => $_v ) { $var[$_k] = securerequest($_v); } } else { if ((0 < strlen($var)) && preg_match("#^(MYOA_|GLOBALS|_GET|_POST|_COOKIE|_ENV|_SERVER|_FILES|_SESSION)#", $var)) { exit("Invalid Parameters!"); } if (!get_magic_quotes_gpc()) { $var = addslashes($var); } } return $var; } function CheckRequest(&$val) { if (is_array($val)) { foreach ($val as $_k = ...继续阅读 (29)

坦白的说，看到限制条件就觉得不爱了，搞得上班还迟到.就是没有注意看条件.要是直接docker运行多好。Before thiscommitinclass.phpmailer.phpin a certain scenarion there is no filter in the sender's email address special chars. This flaw can lead to a remote code execution, viamailfunctionhere.To trigger this code, you need:* PHPMailer < 5.2.18 * Compile PHP without PCRE. * PHP version must be inferior to 5.2.0.So you can bypass the sender's email validation onvalidateAddressfunction, settingpatternselecttonoregex. To make easier to archieve such environment without having to setup PHP like this I just hardcoded itthis code.作者是本地进行调试的python -m ...继续阅读 (11)

坦白的说，看到限制条件就觉得不爱了，搞得上班还迟到.就是没有注意看条件.要是直接docker运行多好。Before thiscommitinclass.phpmailer.phpin a certain scenarion there is no filter in the sender’s email address special chars. This flaw can lead to a remote code execution, viamailfunctionhere.To trigger this code, you need:* PHPMailer &lt; 5.2.18 * Compile PHP without PCRE. * PHP version must be inferior to 5.2.0.So you can bypass the sender’s email validation onvalidateAddressfunction, settingpatternselecttonoregex. To make easier to archieve such environment without having to setup PHP like this I just hardcoded itthis code.作 ...继续阅读 (9)

Source: https://bugs.chromium.org/p/project-zero/issues/detail?id=1009 The OpenSSH agent permits its clients to load PKCS11 providers using the commands SSH_AGENTC_ADD_SMARTCARD_KEY and SSH_AGENTC_ADD_SMARTCARD_KEY_CONSTRAINED if OpenSSH was compiled with the ENABLE_PKCS11 flag (normally enabled) and the agent isn't locked. For these commands, the client has to specify a provider name. The agent passes this provider name to a subprocess (via ssh-agent.c:process_add_smartcard_key -> ssh-pkcs11-client.c:pkcs11_add_provider -> ssh-pkcs11-client.c:send_msg), and the subprocess receives it and pas ...继续阅读 (11)

Author:Sinner漏洞文件：\controllers\ApiController.php Line 54public function downAction() {         $data = fn_authcode(base64_decode($this->get('file')), 'DECODE');         $file = isset($data['finecms']) && $data['finecms'] ? $data['finecms'] : '';         if (empty($file)) {             $this->msg(lang('a-mod-213'));         }         if (strpos($file, ':/')) {             //远程             header("Location: $file");         } else {             //本地             $file = str_replace('..', '', $file);             $file = strpos($file, '/') === 0 ? APP_ROOT.$file : $file;             if (!is_file($f ...继续阅读 (11)

Author:Sinner漏洞文件：\controllers\ApiController.php Line 54public function downAction() {         $data = fn_authcode(base64_decode($this->get('file')), 'DECODE');         $file = isset($data['finecms']) && $data['finecms'] ? $data['finecms'] : '';         if (empty($file)) {             $this->msg(lang('a-mod-213'));         }         if (strpos($file, ':/')) {             //远程             header("Location: $file");         } else {             //本地             $file = str_replace('..', '', $file);             $file = strpos($file, '/') === 0 ? APP_ROOT.$file : $file;             i ...继续阅读 (5)

最新版尝试通过，具体的版本为5.3.12.这是一个比较老的漏洞了，不知道为什么，metinfo 还是没有修复，网上的介绍都比较简单，我这里就详细的解释一下\app\system\include\compatible\metv5_top.php//获取当前应用栏目信息 $PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME']; $PHP_SELFs = explode('/', $PHP_SELF); print_r($PHP_SELFs); $query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'"; $column = DB::get_one($query);这里调用了 $_SERVER[‘SCRIPT_NAME’] 去获取网站路径，但是这里有一个问题就是，路径中并没有waf 处理，可以导致一些安全问题，代码里面就直接 explode 函数对路径进行了切割，这里取出了倒数第二个参数，并且未经过处理就带入了 sql 语句里面，我们看看 这个文件的剩下的一些代 ...继续阅读 (16)

from https://www.exploit-db.com/exploits/40911/''' Source: https://nation.state.actor/mcafee.html Vulnerabilities CVE-2016-8016: Remote Unauthenticated File Existence Test CVE-2016-8017: Remote Unauthenticated File Read (with Constraints) CVE-2016-8018: No Cross-Site Request Forgery Tokens CVE-2016-8019: Cross Site Scripting CVE-2016-8020: Authenticated Remote Code Execution & Privilege Escalation CVE-2016-8021: Web Interface Allows Arbitrary File Write to Known Location CVE-2016-8022: Remote Use of Authentication Tokens CVE-2016-8023: Brute Force Authentication Tokens CVE-2016-8024: HTT ...继续阅读 (6)

Exploit PHP’smail()function to perform remote code execution, under rare circumstances.Advertisement:Security Suckswrote about an interesting way to exploit PHP’smail()function for remote code execution. Apparently, if you are able to control the 5th parameter of themail()function ($options), you have the opportunity to execute arbitrary commands.As with other PHP vulnerabilities, likebypassing PHP’s strcmp() functionorphpinfo() type confusion, they are -often- only possible under rare circumstances.Nevertheless, as always it is very important tocheckyour PHP code for this PHP mail() remote co ...继续阅读 (4)

/* chocobo_root.c linux AF_PACKET race condition exploit exploit for Ubuntu 16.04 x86_64 vroom vroom *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*= user@ubuntu:~$ uname -a Linux ubuntu 4.4.0-51-generic #72-Ubuntu SMP Thu Nov 24 18:29:54 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux user@ubuntu:~$ id uid=1000(user) gid=1000(user) groups=1000(user) user@ubuntu:~$ gcc chocobo_root.c -o chocobo_root -lpthread user@ubuntu:~$ ./chocobo_root linux AF_PACKET race condition exploit by rebel kernel version: 4.4.0-51-generic #72 proc_dostring = 0xffffffff81088090 modprobe_path = 0xffffffff81e48f ...继续阅读 (41)

测试版本v3.0.0 RELEASE 20160518文件/admin/shopinfo.php中107-109行if ($_REQUEST['act'] == 'edit') { /* 权限判断 */ admin_priv('shopinfo_manage'); /* 取得文章数据 */ $sql = "SELECT article_id, title, content FROM ".$ecs->table('article')."WHERE article_id =".$_REQUEST['id']; $article = $db->GetRow($sql);由于这里$sql = "SELECT article_id, title, content FROM ".$ecs->table('article')."WHERE article_id =".$_REQUEST['id'];没有对传入对id进行处理，直接带入了sql语句导致了注入的发生初初查看，由于全局加载了init.phprequire_once(dirname(__FILE__) . '/ '); 'sql'=>"[^\\{\\s]{1}(\\s|\\b)+(?:select\\b|update\\b|insert(?:(\\/\\*.*?\\*\\/) ...继续阅读 (19)

好久没代码审计了，今早上cheery师傅跟我说了一下这个洞，尽管这个洞已经被修复了，但是还是比较新的，看了下没那么难，就简单写下步骤：0x01首先看一下配置的文件include/common.inc.php发现Metinfo采用了伪全局变量的这样一个设置，那么是否会有变量覆盖之类的漏洞，grep下：0x02觉得login那里应该会发生点什么故事XD既然这样的话，看了下后台登录的地方：login.phplogin_check.phplogin_out.php0x03一共三个文件，看一下check，既然包含了common.inc.php，那么就意味着里面存在一些可控的变量：果不其然，对于参数并没有初始赋值，比较开心XD研究了下发现有两种做法：0x01：知道路径的话：既然可以require，那么我们需要一个文件就可以执行，so，注册一下会员，看看有没有什么惊喜的东西XD发现可以上传图片logo： 既然这样的话，我们可以上传一个利用phar或者zip打包的文件，从而达到RCE的目的：然后file_put_contents或者一开始就用file_put_contents拿到一个shell。0x02不知道路径貌似是不能用../去代替的，如果有师傅成功的话，求交流。在这种情况下，我们可以用php的伪协议去达到一些我们想达到的目的，不过allow_url_include默认是不开启的，所 ...继续阅读 (7)

来源：阿里先知（安全情报）简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正；命令执行漏洞修正；我们就根据补丁来分析一下这个前台Getshell漏洞。漏洞详情在补丁页面http://www.cmseasy.cn/patch/show_1116.html下载补丁CmsEasy_for_Uploads_20161012.zip修改的文件不多，通过diff发现补丁中lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*function cut_image_action() { $len = 1; if(config::get('base_url') != '/'){ $len = strlen(config::get('base_url'))+1; } if(substr($_POST['pic'],0,4) == 'http'){ front::$post['thumb'] = str_ireplace(config::get('site_url'),'',$_POST['pic']); }else{ front::$post['thumb'] = substr($_PO ...继续阅读 (4)

这个洞挖了很久了官方几次更新都没修复问题。问题出现在/api/uc.php上43-48行 $code = @$_GET['code']; parse_str(_authcode($code, 'DECODE', UC_KEY), $get); if(MAGIC_QUOTES_GPC) { $get = _stripslashes($get); }变量code从get中获取后经过_authcode函数解密成字符串 赋值到变量中，如果GPC开启则stripslashes取消转义我们再来看函数_authcodefunction _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) { $ckey_length = 4; $key = md5($key ? $key : UC_KEY); $keya = md5(substr($key, 0, 16)); $keyb = md5(substr($key, 16, 16)); $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($ ...继续阅读 (10)

漏洞文件:/Application/Weibo/Controller/IndexController.class.phppublic function uploadMyExp(){ $flag=1; $uid=is_login(); $mycollection='mycollection'; $config = array( 'maxSize' => 5*1024*1024, 'rootPath' => './Uploads/', 'savePath' => 'Expression/'.$mycollection.'/', 'saveName' => '', 'exts' => array('jpg', 'gif','png','jpeg'), 'autoSub' => true, 'subName' => '', 'replace' => true, ); if($_FILES['file']['size']<5*1024||$_FIL ...继续阅读 (6)

Author：数据流(Flyin9_L)前言：主流的东西太多了，还是研究一些非主流的语言好玩。PostScript(PS)是一种页面描述性语言，由Adobe开发，后由Apple推进发展。开始是应用于工业印刷绘图排版，现在广泛适用于打印机。虽然PostScript是比较冷门的语言，但与我们比较熟悉的PDF的部分元素也是由PostScript语言编写。利用PS的特性与弱点可对解析器与打印机进行攻击，而一些基础组件例如ImageMagick解析ps文件时会依赖外部解析器，所以也可对IM进行攻击。0x00 PostScript语言入门由于一般PS语言由机器自动生成，因此关于手写PS语言的资料非常罕见，只能从老外一些零星的资料与解析器的官方文档进行了解。这里我也顺便讲解下PS语言的基础，因为PS语言的中文资料寥寥无几。用PS绘图，其实这语言都是绘图排版的。(绘出Hello world)因为PS是一种页面描述语言，关于绘图部分的基础我就不说了我也不了解。解析器：Ghostscript，是可跨平台的PostScript语言解析器。可将PS语言绘图出来，PS与PDF互相转换，并带有命令行版本。现在Linux发行版本都会自带Ghostscript。文件一般是.PS后缀，且文件头是%!PS，在PS中%是注释符。PostScript是一种基于堆栈的解释语言，而且操作符都是在后的。作为一名WEB狗表示不太 ...继续阅读 (19)

from: 90sec author:LionEiJonson0x01:序言前段时间我发表了”乐尚商城后台任意文件上传”，当时没注意到它整个后台调用的方法都没做登录验证，所以尴尬的以为是后台 getshell，昨天经论坛一朋友提醒才明白是前台 getshell，如果需要看代码分析的朋友可以传送到 （https://forum.90sec.org/forum.ph … &extra=page%3D1），我这里主要谈谈怎么前台 getshell，顺带请教个问题,望大牛赐教。0x02:前台 Getshell我们先本地搭建，登录后台测试是否可以任意文件上传，顺带抓取 POST 包：通过截图可以看到 shell 成功上传，但想要利用这个洞的时候有点棘手，因为这里不但需要POST zip 内容还需要发送 PHPSESSID (PHPSESSID 必须有但不需要担心其值，不然上传不了压缩包)，而且 burpsuit 抓取的 POST 包也会因为编码问题，复制出来会被截断，我想了很久实在不知道该怎么解决，这里请教下各位有没有什么方法。所以只能先用 burpsuit 在本地抓取包再改为远程 target 地址,拿它官网的测试 demo 验证，官网应该是修改了代码，上传的shell 不会像测试那样传到 /public/upload 目录下，而它会在该目录创建 ...继续阅读 (9)

Author: p0wd3r (知道创宇404安全实验室)0x00 漏洞概述1.漏洞简介WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，近日在github （https://gist.github.com/anonymous/908a087b95035d9fc9ca46cef4984e97）上爆出这样一个漏洞，在其<=4.6.1版本中，如果网站使用攻击者提前构造好的语言文件来对网站、主题、插件等等来进行翻译的话，就可以执行任意代码。2.漏洞影响任意代码执行，但有以下两个前提：攻击者可以上传自己构造的语言文件，或者含有该语言文件的主题、插件等文件夹网站使用攻击者构造好的语言文件来对网站、主题、插件等进行翻译这里举一个真实场景中的例子：攻击者更改了某个插件中的语言文件，并更改了插件代码使插件初始化时使用恶意语言文件对插件进行翻译，然后攻击者通过诱导管理员安装此插件来触发漏洞。3.影响版本<= 4.6.10x01 漏洞复现1. 环境搭建docker pull wordpress:4.6.1 docker pull mysql docker run --name wp-mysql -e MYSQL_ROOT_PASSWORD=hellowp -e MYSQL_DATABASE=wp -d mysql docker run --n ...继续阅读 (8)

/* EDB Note: https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/sploits/40053.zip */ --------------------------------------------------- decr.c --------------------------------------------------- /** * Ubuntu 16.04 local root exploit - netfilter target_offset OOB * check_compat_entry_size_and_hooks/check_entry * * Tested on 4.4.0-21-generic. SMEP/SMAP bypass available in descr_v2.c * * Vitaly Nikolenko * vnik@cyseclabs.com * 23/04/2016 * * * ip_tables.ko needs to be loaded (e.g., iptables -L as root triggers * automatic loading). * * vnik@ubuntu:~$ un ...继续阅读 (10)

from:长亭科技订阅号10月1日,Tomcat爆出了一个本地提权漏洞。通过该漏洞,攻击者可以通过一个低权限的Tomcat用户获得系统的root权限。漏洞相关信息： CVE ID:CVE-2016-1240漏洞原理：在Debian系统的Linux上管理员通常利用apt-get进行包管理,deb包是Unixar的标准归档,讲包文件信息以及包内容,经过gzip和tar打包而成。该问题出在Tomcat的deb包中,使 deb包安装的Tomcat程序会自动为管理员安装一个启动脚本,该脚本位于/etc/init.d/tomcat*, 跟踪代码如下:171     # Run the catalina.sh script as a daemon   set +e 
   touch "$CATALINA_PID" "$CATALINA_BASE"/logs/catalina.out   chown $TOMCAT7_USER "$CATALINA_PID" "$CATALINA_BASE"/logs/catalina.out   start-stop-daemon --start -b -u "$TOMCAT7_USER" -g "$TOMCAT7_GROUP" \   -c "$TOMCAT7_USER" -d "$CATALINA_TMPDIR" -p "$CATALINA_P ...继续阅读 (10)

作者：奶权来源：知乎著作权归作者所有。0X00 前言:今天无聊想找个cms来白盒审计一下 练练手于是就跑去站长之家看了一下轻量级的 那么就是他了0X01 白盒审计下载下来安装后 直接扔进法师大牛的源代码审计系统很快就定位到一个文件的一段sql代码文件位置:zs/contrast.php代码片段:$id=''; if(!empty($_POST['id'])){ for($i=0; $i<count($_POST['id']);$i++){ $id=$id.($_POST['id'][$i].','); } $id=substr($id,0,strlen($id)-1); } $sql="select * from zzcms_main where id in ($id)" ; $rs=mysql_query($sql);这段代码讲人话就是把POST过来的id字段一个字一个字分开然后用”,”连接(我也不知道为什么这个程序员把”.=”写成了”=” 导致了”123”变成”1,” 原本应为”1,2,3,”)去掉最后的”,”后不经过任何过滤扔进sql语句里其实绕过这个substr很简单 只需要提交的时候加一个数组的下标就可以了例如绕过了后很容易写出爆管理员用户名密码的expid[0]=1)union select 1,CONCAT(0x73,0x71,0x6c ...继续阅读 (6)

from:小雨’s blogphpecms1.3/admin/cms_check.php<span class="php"><span class="hljs-meta">&lt;?php</span> <span class="hljs-keyword">if</span>(!<span class="hljs-keyword">isset</span>($_COOKIE[<span class="hljs-string">'admin_name'</span>])){ alert_href(<span class="hljs-string">'非法登录'</span>,<span class="hljs-string">'cms_login.php'</span>); }; <span class="hljs-meta">?&gt;</span></span>判断如果没有admin_name的co ...继续阅读 (7)

from:小黑屋继上一篇参数$parentid未正确处理后，在/module/products/admincontroller/products_photo.php中，switch($a) { case 'list':default://list //列表 if (empty($productid)) { $where = ' 1 = 1 '; } else { $where = " productid = '".$productid."' "; } $pageListNum=12;//每页显示 $totalPage=0;//总页数 ---------------------------------------------------------------------- case 'edit':// if(isset($submit)){ $info = array(); $time = time(); if(isset($id)){ $id = intval($id); if($id <= 0){ errorinfo('变量错误',''); } $infoold = $products_photo->GetInfo('',' id = '.$id); } $productinfo = $products->GetI ...继续阅读 (6)

from:小黑屋由于是后台注入，比较鸡肋，发上来供大家相互参考学习。zcncms版本1.2.14，官方网站地址：zcncms0x01 变量处理文件/include/common.inc.php中//检查和注册外部提交的变量 foreach($_REQUEST as $_k=>$_v) { //if( strlen($_k)>0 && eregi('^(GLOBALS)',$_k) ) if( strlen($_k)>0 && preg_match('/^(GLOBALS)/i',$_k) ) { exit('Request var not allow!'); } } ------------------------------------------------------------------- //foreach(Array('_GET','_POST','_COOKIE') as $_request) 取消cookie自动生成变量 foreach(Array('_GET','_POST') as $_request) { foreach($$_request as $_k => $_v) { //------------------20130128校验变量名 if(strstr($_k, ...继续阅读 (6)

/admin/affiliate_ck.php (207-350)是整个get_affiliate_ck函数.function get_affiliate_ck() {     $affiliate = unserialize($GLOBALS['_CFG']['affiliate']);     empty($affiliate) &amp;&amp; $affiliate = array();     $separate_by = $affiliate['config']['separate_by'];     $sqladd = '';     if (isset($_REQUEST['status']))     {         $sqladd = ' AND o.is_sepa ...继续阅读 (65)