记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

鱼跃CMS后台数据备份处存在文件上传漏洞

CNVD-IDCNVD-2020-58491公开日期2020-11-26危害级别 高(AV:N/AC:H/Au:S/C:C/I:C/A:C) 影响产品鱼跃CMS 鱼跃CMS 1.4.27漏洞描述鱼跃CMS是一款专门面向于企业应用的内容管理系统。鱼跃CMS后台数据备份处存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。
发布时间:2020-11-26 10:08 | 阅读:2251 | 评论:0 | 标签:cms 漏洞

ShuipFCMS内容管理系统存在文件上传漏洞

CNVD-IDCNVD-2020-58406公开日期2020-11-24危害级别 高(AV:N/AC:H/Au:S/C:C/I:C/A:C) 影响产品ShuipFCMS ShuipFCMS v1.0.0漏洞描述ShuipFCMS一款基于ThinkPHP框架为核心,采用独立分组的方式开发的内容管理系统。ShuipFCMS存在任意文件上传漏洞,攻击者可利用该漏洞获取服务器管理权限。
发布时间:2020-11-24 01:26 | 阅读:7223 | 评论:0 | 标签:cms 漏洞

YYcms前台登录页面存在SQL注入漏洞

CNVD-IDCNVD-2020-58428公开日期2020-11-24危害级别 高(AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品yycms yycms V2.3漏洞描述YYCMS影视,雨雨CMS影视,是一款全自动采集的视频网站。YYcms前台登录页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
发布时间:2020-11-24 01:26 | 阅读:5128 | 评论:0 | 标签:注入 cms 漏洞 SQL

YYcms会员中心存在SQL注入漏洞

CNVD-IDCNVD-2020-58419公开日期2020-11-24危害级别 高(AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品yycms yycms 漏洞描述YYCMS影视,雨雨CMS影视,是一款全自动采集的视频网站。YYcms会员中心存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
发布时间:2020-11-24 01:26 | 阅读:6590 | 评论:0 | 标签:注入 cms 漏洞 SQL

DrupalCMS远程代码执行漏洞(CVE-2020-13671)

Drupal是使用PHP语言编写的开源内容管理框架。影响范围Drupal 9.0.8Drupal 8.9.9Drupal 8.8.11Drupal 7.7.4目前系统最新数据(一年内数据),显示全球范围内(app="Drupal")共有 481,654 个相关服务对外开放。美国使用数量最多,共有 174,959 个;德国第二,共有 38,420 个;法国第三,共有 38,015 个;中国大陆第四,共有 25381 个;英国第五,共有 17,776 个。
发布时间:2020-11-23 12:31 | 阅读:3676 | 评论:0 | 标签:cms 漏洞 CVE 远程 执行

骑士CMS assign_resume_tpl 远程代码执行漏洞

漏洞描述骑士CMS是一套基于PHP+MYSQL的免费网站管理系统。骑士CMS官方发布安全更新,修复了一处远程代码执行漏洞。由于骑士CMS某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。漏洞利用简单,且相关利用细节已公开,极度安全提醒骑士CMS用户尽快采取安全措施阻止漏洞攻击。影响版本骑士CMS < 6.0.48安全版本骑士CMS 6.0.48安全建议1. 升级骑士CMS至最新版本。
发布时间:2020-11-22 10:45 | 阅读:7570 | 评论:0 | 标签:cms 漏洞 远程 执行

Alencms存在SQL注入漏洞

CNVD-IDCNVD-2020-58378公开日期2020-11-22危害级别 高(AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品东莞市光速网络技术有限公司 Alencms V2.1 Beta5漏洞描述东莞光速网络属大型网络公司,专业为广大中小型企业、政府机构等提供网站设计服务。Alencms存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
发布时间:2020-11-22 00:29 | 阅读:12788 | 评论:0 | 标签:注入 cms 漏洞 SQL

【漏洞通告】骑士CMS远程代码执行漏洞

收录于话题 近日,骑士CMS官方发布一则安全更新,修复了一处代码执行漏洞。该漏洞由一个上传绕过+文件包含漏洞组合而成,最终可执行任意代码。攻击者可在前台注册用户后,通过构造恶意请求,最终配合文件包含漏洞,实现代码执行,控制服务器。该漏洞攻击代码已经公开,请受影响的用户及时更新补丁或升级到不受影响版本。
发布时间:2020-11-21 19:28 | 阅读:8080 | 评论:0 | 标签:cms 漏洞 远程 执行

骑士CMS assign_resume_tpl 远程代码执行漏洞风险提示

近日,阿里云应急响应中心监测到骑士CMS官方发布安全更新,修复了一处远程代码执行漏洞。漏洞描述骑士CMS是一套基于PHP+MYSQL的免费网站管理系统。骑士CMS官方发布安全更新,修复了一处远程代码执行漏洞。由于骑士CMS某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。漏洞利用简单,且相关利用细节已公开,阿里云应急响应中心提醒骑士CMS用户尽快采取安全措施阻止漏洞攻击。影响版本骑士CMS < 6.0.48安全版本骑士CMS 6.0.48安全建议1. 升级骑士CMS至最新版本。
发布时间:2020-11-20 15:01 | 阅读:8827 | 评论:0 | 标签:cms 漏洞 远程 执行

0Day分享 | 一个私服的通用0Day

先admin尝试 其实当我在浏览网站的最下方时,我看到了这一信息。我的大脑就浮现出了一个0day,应该泛滥了!但我打算发出来 http://url/admin 尝试一下运?
发布时间:2020-11-19 14:51 | 阅读:8602 | 评论:0 | 标签:0day cms fofa关键词 弱口令

zzcms框架存在文件上传漏洞

CNVD-IDCNVD-2020-58388公开日期2020-11-19危害级别 高(AV:N/AC:H/Au:S/C:C/I:C/A:C) 影响产品ZZCMS ZZCMS 2020漏洞描述zzcms(站长招商网内容管理系统),由zzcms团队开发,融入数据库优化,内容缓存,AJAX等技术,使网站的安全性 、稳定性 、负载能力得到可靠保障。源码开放,功能模块独立,便于二次开发。zzcms框架存在文件上传漏洞,攻击者可利用该漏洞获取服务器管理权限。
发布时间:2020-11-19 00:21 | 阅读:8597 | 评论:0 | 标签:cms 漏洞

骑士 CMS 远程命令执行分析

0x00 前言续师傅前些天跟我说骑士 CMS 更新了一个补丁,assign_resume_tpl这个全局函数出现了问题,让我分析看看,我看了下官网公告:http://www.74cms.com/news/show-2497.html/Application/Common/Controller/BaseController.class.php文件的assign_resume_tpl函数因为过滤不严格,导致了模板注入,可以进行远程命令执行。
发布时间:2020-11-18 12:10 | 阅读:5257 | 评论:0 | 标签:cms 远程 执行

代码审计-梦想cms

前段时间学习代码审计时,审计小众cms:lmxcms  新手,不足之处,勿喷 ^o^环境一、Lmxcms_v1.4下载:http://www.lmxcms.com/file/d/down/xitong/20150113/201501130910222659.rar二、Lmxcms_v1.4搭建:环境:phpstudy2018 +windows10第一步:上传程序到服务器网站根目录第二步:运行install目录进行安装(在地址栏输入http://你的域名/install)第三步:登陆后台。
发布时间:2020-11-16 11:14 | 阅读:10662 | 评论:0 | 标签:cms 审计

代码审计-梦想cms-sql注入

前段时间学习审计时,审计的一个小众cms 梦想cms, 不喜勿喷,谢谢 ^0^环境一、Lmxcms_v1.4下载:http://www.lmxcms.com/file/d/down/xitong/20150113/201501130910222659.rar二、Lmxcms_v1.4搭建:环境:phpstudy2018 +windows10第一步:上传程序到服务器网站根目录第二步:运行install目录进行安装(在地址栏输入http://你的域名/install)第三步:登陆后台(在地址栏输入http://你的域名/admin.php)。
发布时间:2020-11-16 11:14 | 阅读:13586 | 评论:0 | 标签:注入 cms 审计 SQL

baijiacms V4.1.4存在命令执行漏洞

CNVD-IDCNVD-2020-58369公开日期2020-11-14危害级别 高(AV:N/AC:H/Au:S/C:C/I:C/A:C) 影响产品baijiacms baijiacms V4.1.4 漏洞描述baijiacms是一套用于电子商务的内容管理系统(CMS)。baijiacms v4.1.4版本中存在命令执行漏洞,攻击者可以执行任何命令,从而获取服务器权限。
发布时间:2020-11-14 01:47 | 阅读:23157 | 评论:0 | 标签:cms 漏洞 AI 执行

一次旁站信息泄露的dedecms站点渗透

今天又是准备划水认真工作的一天,没想到一到公司领导就甩了个站过来,这可能就是打工人吧话不多说来看看站,先信息收集一波初步测试目标站点?
发布时间:2020-11-13 11:02 | 阅读:11841 | 评论:0 | 标签:cms dedecms 渗透 泄露

米酷cms代审记录

一、前言米酷cms是一套用户视频搭建的cms,源码中存在大量sql注入,选了两处进行记录其余过程原理和过程都一样就不记录了。二、注册处SQL注入漏洞位置:ucenterreg.php,第1~18行。
发布时间:2020-11-11 12:39 | 阅读:6265 | 评论:0 | 标签:cms

入门级cms审计

收录于话题 0x001前言:熊海CMS是一款小型的内容管理系统,可以用于入门的审计学习。0x002:网站目录结构:iseaCMS_1.0├──admin       &
发布时间:2020-11-11 12:05 | 阅读:6282 | 评论:0 | 标签:cms 审计

KashmirBlack僵尸网络劫持了大量CMS网站

研究人员最近发现一个活跃的僵尸网络,由遍布30个国家的数十万个被劫持的系统组成,该攻击正在利用“数十个已知漏洞”,将广泛使用的内容管理系统(CMS)作为攻击目标。据悉,“KashmirBlack”活动于2019年11月左右开始,目标是针对流行的CMS平台,如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。Imperva的研究人员在一份分析报告中说:“它精心设计的基础设施使得它很容易扩展和增加新的漏洞或有效载荷,而且它使用复杂的方法来伪装自己不被发现,并保护它的运行。
发布时间:2020-11-02 11:27 | 阅读:10063 | 评论:0 | 标签:cms 僵尸网络

KashmirBlack 劫持了数千个在主流 CMS 平台上的网站

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。
发布时间:2020-11-01 12:44 | 阅读:12930 | 评论:0 | 标签:cms

KashmirBlack 僵尸网络劫持了大量CMS网站

研究人员最近发现一个活跃的僵尸网络,由遍布30个国家的数十万个被劫持的系统组成,该攻击正在利用“数十个已知漏洞”,将广泛使用的内容管理系统(CMS)作为攻击目标。据悉,“KashmirBlack”活动于2019年11月左右开始,目标是针对流行的CMS平台,如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。Imperva的研究人员在一份分析报告中说:“它精心设计的基础设施使得它很容易扩展和增加新的漏洞或有效载荷,而且它使用复杂的方法来伪装自己不被发现,并保护它的运行。
发布时间:2020-10-31 01:06 | 阅读:11679 | 评论:0 | 标签:cms 僵尸网络

KashmirBlack 僵尸网络劫持了数千个运行在主流 CMS 平台上的网站

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。 Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。
发布时间:2020-10-30 13:58 | 阅读:8202 | 评论:0 | 标签:黑客事件 僵尸网络 黑客攻击 cms

击掌CMS后台存在文件上传漏洞

CNVD-IDCNVD-2020-58597公开日期2020-10-24危害级别 高(AV:N/AC:L/Au:S/C:C/I:C/A:C) 影响产品击掌CMS 击掌CMS 1.0漏洞描述击掌CMS是一款免费的无数据库CMS系统。击掌CMS后台存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。
发布时间:2020-10-26 17:10 | 阅读:21893 | 评论:0 | 标签:cms 漏洞

OneThird CMS远程代码执行漏洞

CNVD-IDCNVD-2020-58211公开日期2020-10-23危害级别 高(AV:N/AC:L/Au:N/C:P/I:P/A:P) 影响产品OneThird OneThird CMS <=v1.96cCVE IDCVE-2020-5640 漏洞描述OneThird CMS是日本OneThird团队的一个轻量级内容管理系统。CMS v1.96c版本及之前版本存在远程代码执行漏洞,攻击者可利用该漏洞执行任意代码或通过未指定的向量获取敏感信息。
发布时间:2020-10-23 17:05 | 阅读:22975 | 评论:0 | 标签:cms 漏洞 远程 执行

pcfcms安装页面的一处意料之外的变量注入可导致网站瘫痪

 前言:在代码审计环节当中,本人偏向于先审计网站安装文件,因为在这里涉及了很多对数据库的操作,如果在网站安装完后没有删除安装文件,或者
发布时间:2020-10-22 16:07 | 阅读:13253 | 评论:0 | 标签:注入 cms

开源CMS系统源码分析及漏洞利用

收录于话题 0x00 简述近日偶然发现一个开源CMS框架,想拿来练练手巩固一下很久不用的PHP安全知识,找到一处文件上传漏洞,和各位师傅一起学习学习。
发布时间:2020-10-21 16:26 | 阅读:7966 | 评论:0 | 标签:cms 漏洞

狂雨小说cms存在文件写入漏洞

CNVD-IDCNVD-2020-56007公开日期2020-10-15危害级别 高(AV:N/AC:H/Au:S/C:C/I:C/A:C) 影响产品狂雨小说cms 狂雨小说cms 1.2.4漏洞描述狂雨小说cms是一个轻量级小说网站解决方案,基于 ThinkPHP5.1+MySQL 的技术开发。狂雨小说cms存在文件写入漏洞,攻击者可利用该漏洞获取服务器控制权限。
发布时间:2020-10-15 01:04 | 阅读:30174 | 评论:0 | 标签:cms 漏洞

UCMS fi***.php文件存在文件上传漏洞

CNVD-IDCNVD-2020-55969公开日期2020-10-14危害级别 高(AV:N/AC:H/Au:S/C:C/I:C/A:C) 影响产品UCMS UCMS 1.4.1UCMS UCMS 1.4.3UCMS UCMS 1.5.0UCMS UCMS 1.4.0漏洞描述UCMS是一款简单的开源内容管理系统。UCMS fi***.php文件存在文件上传漏洞。攻击者可以利用漏洞上传恶意文件,获取服务器权限。
发布时间:2020-10-14 01:39 | 阅读:33637 | 评论:0 | 标签:cms 漏洞 PHP

BigTree CMS远程执行代码漏洞

CNVD-IDCNVD-2020-54147公开日期2020-10-04危害级别 高(AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品BigTree CMS BigTree CMS 4.4.10漏洞描述BigTree CMS是一个基于PHP和Mysql的小型开源cms。BigTree CMS存在远程执行代码漏洞。攻击者可利用漏洞执行任意代码。
发布时间:2020-10-04 00:29 | 阅读:53821 | 评论:0 | 标签:cms 漏洞 远程 执行

PbootCMS V3.0.1任意代码执行漏洞

漏洞分析先查看appshomecontrollerParserController.php中的parserIfLabel方法的两个if标签的过滤项if (preg_match_all('/([w]+)([/*<>%ws\\]+)?(/i', $matches[1][$i], $matches2)) 
发布时间:2020-10-02 12:36 | 阅读:44414 | 评论:0 | 标签:cms 漏洞 执行

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云