Smarty <= 3.1.34,存在任意文件删除的POP链. Exp: <?php class Smarty_Internal_Template { public $smarty = null; public function __construct() { $this->smarty = new Smarty; $this->cached = new Smarty_Template_Cached; } } class Smarty { public $cache_locking…
  0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc.cn/php/3.0/PHP_JTBC_CMS.C.zip 测试网站首页: 0x01 代码分析 1.漏洞文件位置:/console/file/common/incfiles/manage.inc.php 第304-339行: public static function moduleActionDe…
\program\diypage\receive\edit.php首先看到一个unlink($path);本来应该先看sql语句的,但知道是任意文件删除先跳过删除语句,看看$path怎么传入的倒推上去 1.$path=$v;2.foreach($old_imgs as $v)3.$old_imgs=get_match_all($reg,$r['content']); get_match_all是一个自定义函数function get_match_all($reg,$str){    preg_m…
前几天看了水泡泡老哥的zzcms的审计,在论坛上一搜发现这个cms有不少洞.听说很适合小白练手,所以来瞅一瞅.不知道我发现的这个洞是不是已经被爆过了,如果雷同,纯属巧合. 一.Insert注入,直接返回数据 先从默认页index.php入手: 跟进inc/conn.php看一下: 发现include了好多文件,可以看一下每一行的注释,大多数都是定义一些常量.只有inc/function.php和inc/stopsqlin.php不是.先进入function.php看一下,大都是一些公用函数的定义…
12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 <?php /* * 自动缩略图 参数 url|w|h|type="cut/full"|mark="text/image|r" * thumb.php?url=/thinksns/data/userface/000/00/00/41_middle_face.jpg?1247718988&w=20&h=20 */ error_re…
Discuz!X 3.4 前台任意文件删除漏洞复现 参考链接: http://www.freebuf.com/vuls/149904.html http://www.freebuf.com/articles/system/149810.html http://mp.weixin.qq.com/s?srcid=0930uM1OtfeAsXwHRrfZBIyo&scene=23&mid=2650942631&sn=12a3c55807768f12fcd1b306fdf775d8&…
  0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www.damicms.com/downes/dami.rar 测试网站首页: 0x01 代码分析 1.漏洞文件位置1:/Admin/Lib/Action/TplAction.class.php  第118-135行中: public function del() $id = dami_url_repal…
  0x00 环境准备 YzmCMS官网:http://www.yzmcms.com/ 程序源码下载:http://pan.baidu.com/s/1pKA4u99 测试网站首页: 0x01 代码分析 1.文件位置: /application/member/controller/member.class.php 第118-132行中: public function edit(){ $userid = isset($_GET['userid']) ? intval($_GET['userid']…
  0x00 环境准备 XIAOCMS官网: http://www.xiaocms.com/ 网站源码版本:XiaoCms (发布时间:2014-12-29) 程序源码下载:http://www.xiaocms.com/download/XiaoCms_20141229.zip 测试网站首页: 0x01 代码分析 1.漏洞文件位置:/admin/controller/database.php 第38-56行: public function importAction() { $dir  = DA…
  0x00 环境准备 XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html 测试网站首页: 0x01 代码分析 1.漏洞文件位置:/App/Manage/Controller/DatabaseController.class.php   第293--233行: public function delSq…
0X00 总体简介 云优CMS于2017年9月上线全新版本,二级域名分站,内容分站独立,七牛云存储,自定义字段,自定义表单,自定义栏目权限,自定义管理权限等众多功能深受用户青睐,上线短短3个月,下载次数已超过5万次.云优CMS坚信没有排名的网站不是“好网站”,我们将致力于为用户打造全自动SEO解决方案 此次审的版本为云优CMS v1.1.2,更新于2018.08.02. 发现了前台api模块Master.php,V1.php存在多个注入漏洞,与及statics\ueditor\vendor\Lo…
0x00 背景 这套系统审了很久了,审计的版本是1.6,前台审不出个所以然来.前台的限制做的很死. 入库的数据都是经过mysql_real_escape_string,htmlspecialchars的处理. 二次注入没找到,逻辑漏洞也没找到.抛开实际利用来说,简单讲讲两个任意文件删除漏洞,在拿到后台之后的getshell方法. 0x01 phpshe程序简介 phpshe是一个开源商城程序,程序在前台入库的地方都用了pe_dbhold函数(mysql_real_escape_string,ht…
  0x00 环境准备 TuziCMS官网:http://www.tuzicms.com/ 网站源码版本:TuziCMS_v3.0_20161220 程序源码下载:http://www.tuzicms.com/index.php/download 测试网站首页: 0x01 代码分析 1.漏洞文件位置: \tuzicms\App\Manage\Controller\DatabaseController.class.php 第284-314行: (由于部分TuziCMS 采用zend解密,可使用如下…
  0x00 环境准备 XIAOCMS官网: http://www.xiaocms.com/ 网站源码版本:XiaoCms (发布时间:2014-12-29) 程序源码下载:http://www.xiaocms.com/download/XiaoCms_20141229.zip 测试网站首页: 0x01 代码分析 1.漏洞文件位置:/admin/controller/template.php  第79--91行: public function delAction() { $dir    = $…
  0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke.com/thread-13.htm 测试网站首页: 0x01 代码分析 1.漏洞文件位置:/admin_system/update.php   第30-49行: switch($tcz['log']){ case 'start': $path=arg('path','post','url'); $f…
  0x00 环境准备 iZhanCMS官网:http://www.izhancms.com 网站源码版本:爱站CMS(zend6.0) V2.1 程序源码下载:http://www.izhancms.com/category/Category/index/cid/1 默认后台:http://127.0.0.1/admin/admin/index 默认用户名:admin  密码自设 测试网站首页: 0x01 代码分析 1.        漏洞文件位置: /admin/application/we…
  0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/cltphp 默认后台地址: http://127.0.0.1/admin/login/index.html 默认账号密码: 后台登录名:admin  密码:admin123 测试网站首页: 0x01 代码分析 1./app/admin/controller/Database.php  第221…
今天看下群里在讨论Discuz!X 3.4 任意文件删除漏洞,自己做了一些测试,记录一下过程.结尾附上自己编写的python脚本,自动化实现任意文件删除. 具体漏洞,请查看 https://paper.seebug.org/411/ 0x01 环境搭建 到官网下载Discuz 3.4版本,phpstudy 本机搭建,并注册账号.站点根目录新建111.txt,作为删除的目标文件. Discuz 3.4下载链接:http://www.discuz.net/thread-3825961-1-1.htm…
本文作者:X_Al3r Prat 0 自白 每一天都是新的一天.没啥吐槽的,步入正题 /system/category.php 文件一处Sql注入## 80-87行代码         $root_id = intval(trim($_POST['root_id']));         $cate_name = trim($_POST['cate_name']);         $cate_dir = trim($_POST['cate_dir']);         $cate_url =…
dzzofiice 任意文件删除漏洞 \upload\dzz\system\dzzcp.php第199行 elseif($do=='deleteIco'){    $arr=array();    $names=array();    $i=0;    $icoids=$_GET['icoids'];    $bz=trim($_GET['bz']);    foreach($icoids as $icoid){                $return=IO::Delete($icoid)…
0x01:目录结构 可以发现Frameword是框架的文件 install安装 public公共文件 uploads储存上传之类的文件 webuser后台文件 Home前台文件 0x02.csrf漏洞 漏洞文件地址: ~/webuser/lib/action/UserAction.class.php public function addUser(){ if ($this->isPost()) { $db=D('User'); if($data=$db->create()){ if($db-&…
第一章 漏洞简介及危害分析 1.1漏洞介绍 WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量.它是一个开源的系统,其次它的功能也十分强大,源代码可以在这里找到.也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷.这种广泛的采用使其成为网络犯罪分子的一个有趣目标.这次实验的漏洞是在WordPress核心中的一个经过身份验证的任意文件删除漏洞CVE-2018-207…
Discuz!X V3.4后台任意文件删除 简述 该漏洞为后台任意文件删除,需要有管理员的权限,所以说危害非常小 复现环境 docker.vulhub-master 项目地址:https://gitee.com/ComsenzDiscuz/DiscuzX/tree/master 漏洞复现 启动环境docker-compose up -d 安装Discuz!X V3.4 数据库名设置为db 访问后台并登录http://your-ip/admin.php 进入论坛->模块管理->编辑板块 使用bu…
Discuz!X ≤3.4 任意文件删除漏洞 简述 漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过. 漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复 漏洞原理分析 在home.php中存在,get参数不满足条件时进入 require_once libfile('home/'.$mod, 'module'); libfile(功能:构造文件路径) function libfile($libname, $folder = '') { $libpath = '/sou…
ActiveMQ 反序列化漏洞(CVE-2015-5254) 漏洞详情 ActiveMQ启动后,将监听61616和8161两个端口,其中消息在61616这个端口进行传递,使用ActiveMQ这个中间件的程序也通过这个端口工作,8161是Web服务的端口,通过Web页面可管理ActiveMQ ActiveMQ反序列化漏洞存在于ActiveMQ5.13.0之前5.x版本中,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的Java Message Service(JMS)Ob…
环境搭建: CSCMS :http://www.chshcms.com/ 网站源码版本:Cscms_v4.1正式版(发布日期:2017-06-05) 程序源码下载:https://github.com/chshcms/cscms 漏洞实例一: 漏洞文件位置:\cscms\plugins\sys\admin\Basedb.php  第160-177行: public function del(){ $dir = $this->input->get_post('id',true); if(empt…
这里以Discuz3.2为例 关键字:Powered by Discuz! X3.2 时间有限,就不一一截图了,Discuz所有页面全在Discuz_X3.2_SC_UTF8/upload/目录下 利用过程: 访问http://192.168.1.102/Discuz_X3.2_SC_UTF8/upload/robots.txt试试,这是我虚机中discuz中robots的路径,具体视个人情况而定 1.注册个帐号 2.提交数据 url地址栏:http://192.168.1.102/Discuz…
一. 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二.代码审计 1.双击启动桌面Seay源代码审计系统软件 2.因为74CMS3.0源代码编辑使用GBK编辑,所以首先需要先将编码改成GBK 3.点击新建项目按钮,弹出对画框中选择(C:\phpStudy\WWW\74cms),点击确定 漏洞分析 1.点击展开左侧admin目录,在弹出的下拉列表中双击admin/admin_article.php页面,右侧页面可以看到相关代码. elseif($act…
在开始学习之前先简单记录一下自己现在的思路吧..现在接触的基本都是无防护的漏洞也就是最简单的一些漏洞.我的想法就是以代审思路为主,之前一直在打CTF,白盒的思维我觉得和CTF这种黑盒有很大区别.自己的思考方式应该在某处转变. 在实际中,真正的业务也是基于这种最简单的功能,无非是给他穿了很多层衣服,而我们在审计时要做的就是去掉他的保护,脱掉他的衣服. 0x00 任意文件读取 通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常…