蚕豆网应用管理后台SQL注射可导致全站挂马

September 15, 2014, 11:28 pm

≫ Next: 某OA系统无需登录GetShell

≪ Previous: 74cms逻辑漏洞导致二次SQL注入变为普通SQL注入

$

0

0

http://appgame.candou.com admin' or '1'='1 admin' or '1'='1 直接进入后台[......]

Read more

您可能也喜欢：
联想#某管理平台存在SQL注射导致后台沦陷及信息泄露	达内在线教学管理系统存在SQL注射漏洞劫持后台（泄漏管理与学生账号）	TCL#某重要管理系统存在漏洞导致SQL注射及信息泄露	启明星辰天珣内网安全风险管理与审计系统一处SQL注射漏洞	某社交应用管理后台弱口令（用户信息泄露）
无觅

---

某OA系统无需登录GetShell

September 16, 2014, 2:03 am

≫ Next: 本属下一代人的网站推广方法

≪ Previous: 蚕豆网应用管理后台SQL注射可导致全站挂马

$

0

0

官方：http://www.qioa.cn/ 启莱OA（包括标准版，政务办，教育版，工程版） 官方案例：http://www.qioa.cn/index.php?m=content&c=index&a=lists&catid=7 用户还是很多的。 启莱OA标准版官方演示地址： http://test.oawin.net:8888/Login.aspx[......]

Read more

您可能也喜欢：
利用万户OA系统任意文件下载任意getshell	大汉版通系统无限制getshell	江南科友HAC系统存在非授权文件读取漏洞	某通用企业版OA系统SQL注入大礼包	教育部门OA系统未授权访问导致文件上传任意代码执行
无觅

本属下一代人的网站推广方法

September 16, 2014, 6:58 am

≫ Next: 【硅谷科技，西班牙豪情】康塔多拿下第三个环西总冠军

≪ Previous: 某OA系统无需登录GetShell

$

0

0

　 中介交易 SEO诊断 淘宝客 云主机 技术大厅 　[......]

Read more

您可能也喜欢：
2014社会投资平台推广沙龙	21个最常用网站推广方法	“站长网”站长谈网站的立项和推广	淘宝客如何推广	企业自己开发的网站商城如何进行推广
无觅

【硅谷科技，西班牙豪情】康塔多拿下第三个环西总冠军

September 16, 2014, 4:46 pm

≫ Next: O2O|打造“沉浸式跨界感”，从国外购物环境看O2O线下渠道变革

≪ Previous: 本属下一代人的网站推广方法

$

0

0

随着细雨的降临，Alberto Contador在冲过最后一站的终点之后，挥拳庆祝他2014[......]

Read more

O2O|打造“沉浸式跨界感”，从国外购物环境看O2O线下渠道变革

September 16, 2014, 8:24 pm

≫ Next: 数据挖掘-分词入门

≪ Previous: 【硅谷科技，西班牙豪情】康塔多拿下第三个环西总冠军

$

0

0

互联网风口上的小米，线上营销只是赚了个噱头，而70%的销量来自线下渠道；乐视，这个全新的电视[......]

Read more

数据挖掘-分词入门

September 16, 2014, 10:17 pm

≫ Next: phpshe最新版无需登录前台getshell

≪ Previous: O2O|打造“沉浸式跨界感”，从国外购物环境看O2O线下渠道变革

$

0

0

谷歌4亿英镑收购人工智能公司DeepMind，百度目前正推进“百度大脑”项目，腾讯、阿里等各大巨头布局深度学习。随着社会化数据大量产生，硬件速度上升、成本降低，大数据技术的落地实现，让冷冰冰的数据具有智慧逐渐成为新的热点。要从数据中发现有用的信息就要用到数据挖掘技术，不过买来的数据挖掘书籍一打开全是[......]

Read more

phpshe最新版无需登录前台getshell

September 17, 2014, 1:45 am

≫ Next: DedeCMS-V5.7-UTF8-SP1 csrf getshell 无需会员中心

≪ Previous: 数据挖掘-分词入门

$

0

0

此问题由于phpshe系统可以重装，加上install时存在任意代码写入导致代码执行。 install/index.php[......]

Read more

您可能也喜欢：
大汉版通系统无限制getshell	phpaaCMS Bug 注入 getshell	dedecms XSS 0day最新5.3-5.7通杀所有版本 可getshell	PageAdmin cms getshell 0day	Thinksns 2.5 getshell
无觅

DedeCMS-V5.7-UTF8-SP1 csrf getshell 无需会员中心

September 17, 2014, 5:59 pm

≫ Next: 金蝶网重要分站sql注射漏洞

≪ Previous: phpshe最新版无需登录前台getshell

$

0

0

在黑盒测试友情链接功能的时候发现filter的一个bug 网站logo处提交">_<'&quot;&lt;&gt;发现后台显示logo时居然成功引入了双引号闭合了src属性。[......]

Read more

您可能也喜欢：
DedeCMS-V5.7-UTF8-SP1 sql注入	DedeCMS-V5.7-UTF8-SP1 变反射为持久xss 拿shell	DedeCMS-V5.7-UTF8-SP1 sql二次注入	ESPCMS最新 V5.8.14.03.03 UTF8 正式版暴力注入	Dedecms 5.5 GBK(utf8) 最新0day
无觅

---

金蝶网重要分站sql注射漏洞

September 17, 2014, 7:05 pm

≫ Next: 前沿同创科技官网文件包含导致获取服务器shell

≪ Previous: DedeCMS-V5.7-UTF8-SP1 csrf getshell 无需会员中心

$

0

0

金蝶注册站点，找回密码这里，多处post注射 其中 userid email皆存在注射 另外[......]

Read more

您可能也喜欢：
FreeCms通杀SQL注射漏洞	爱卡汽车严重SQL注射漏洞	Ecmall的几处SQL注射漏洞	海航酒店某处POST SQL注射漏洞	金蝶重要分站SQL注入漏洞
无觅

前沿同创科技官网文件包含导致获取服务器shell

September 17, 2014, 8:02 pm

≫ Next: 网友说台风丨海南财富漏洞丨对鸟很鄙视丨只顾头难顾腚

≪ Previous: 金蝶网重要分站sql注射漏洞

$

0

0

拿到了数据库的权限可以任意操控数据库,可以登陆SSH服务器 利用的是文件包含漏洞 问题页面:http://www.vasee.com/event/view.jsp?day=2014-08-03&emid=ff80808146acac6f014770b306751ec2&id=ff80808146acac6f014770b305231eb8&sub= 其中sub参数就是包含处 传递sub=index?后页面报错[......]

Read more

您可能也喜欢：
phpdisk任意文件上传getshell(官网已shell)	PHP官网任意文件读取漏洞	北京科技大学内网渗透测试	渗透菲律宾星报官网 Penetration of the Philippine Star 's official website	乐彼多语言网店编辑器通杀拿shell
无觅

网友说台风丨海南财富漏洞丨对鸟很鄙视丨只顾头难顾腚

September 17, 2014, 6:24 am

≫ Next: #WEB安全科普#——代码执行漏洞

≪ Previous: 前沿同创科技官网文件包含导致获取服务器shell

$

0

0

（南海网阳光岛社区网友 萍踪霞影 图/文）

高尔基笔下的海鸥是懦弱的，它每每在暴风雨来临之前总是呻吟着，呻吟着，它不停地在大海上飞窜，想把自己对暴风雨的恐惧，掩藏到大海的深处。

可是，在2014年9月12日下午两点钟，一个化名为海鸥的热带风暴，在菲律宾马尼拉东偏南方的西北太平洋生成，途经南[......]

Read more

#WEB安全科普#——代码执行漏洞

September 17, 2014, 11:09 am

≫ Next: 前沿同创科技官网文件包含导致获取服务器shell

≪ Previous: 网友说台风丨海南财富漏洞丨对鸟很鄙视丨只顾头难顾腚

$

0

0

一、漏洞描述

代码执行漏洞(Code Execution)：系统提供代码执行类函数主要方便处理[......]

Read more

前沿同创科技官网文件包含导致获取服务器shell

September 17, 2014, 7:06 pm

≫ Next: 2345论坛过滤不严可任意编辑他人帖子

≪ Previous: #WEB安全科普#——代码执行漏洞

$

0

0

拿到了数据库的权限可以任意操控数据库,可以登陆SSH服务器 利用的是文件包含漏洞 问题页面:http://www.vasee.com/event/view.jsp?day=2014-08-03&emid=ff80808146acac6f014770b306751ec2&id=ff80808146acac6f014770b305231eb8&sub= 其中sub参数就是包含处 传递sub=index?后页面报错[......]

Read more

您可能也喜欢：
phpdisk任意文件上传getshell(官网已shell)	金山软件官网文件包含问题	逐浪CMS任意文件删除漏洞（官网演示）	乐彼多语言网店编辑器通杀拿shell	天生创想OA系统任意文件下载+官网数据库配置文件
无觅

2345论坛过滤不严可任意编辑他人帖子

September 17, 2014, 8:59 pm

≫ Next: 微信某示例代码函数使用不当可能会导致第三方厂商躺枪

≪ Previous: 前沿同创科技官网文件包含导致获取服务器shell

$

0

0

接口缺少过滤可以任意编辑他人帖子/任意编辑超过7天限制的帖子 问题接口:/post.php[......]

Read more

您可能也喜欢：
（大数据系列）我是如何控制爱物网论坛4235037用户的帖子	（大数据系列）我是如何控制高德论坛全论坛用户的帖子	（大数据系列）我是如何控制搜狗论坛5304064用户的帖子	达步溜分类信息网站任意删除帖子	看我如何利用一个弱口令影响整个搜狐焦点网的所有论坛的帖子和用户（大数据系列）#1
无觅

微信某示例代码函数使用不当可能会导致第三方厂商躺枪

September 17, 2014, 9:11 pm

≫ Next: 天格科技某处越权漏洞可修改任意账户资料

≪ Previous: 2345论坛过滤不严可任意编辑他人帖子

$

0

0

从官方下了最新的微信开放平台接入示例文件（php） http://mp.weixin.qq.com/mpres/htmledition/res/wx_sample.zip wx_sample.php行27[......]

Read more

您可能也喜欢：
某厂商移动E站某业务系统弱口令	国内几家vpn设备厂商的后门漏洞	数字，手机厂商喜爱的营销妙招	大阴谋：手机厂商的坑爹设计	HTML5 App的代码注入攻击
无觅

---

天格科技某处越权漏洞可修改任意账户资料

September 17, 2014, 10:08 pm

≫ Next: 走秀网利用XSS+STRUCT2任意执行命令

≪ Previous: 微信某示例代码函数使用不当可能会导致第三方厂商躺枪

$

0

0

问题存在于天格科技的苹果客户端。安卓下目测存在同样的问题。 下载方式位于http://mobile.9158.com/ 或直接91助手搜索9158 进入客户端，注册帐号。我们点击个人资料[......]

Read more

您可能也喜欢：
迅雷路由DNS修改劫持漏洞	绿盟科技发布工控漏洞扫描系统ICSScan	EasyTalk微博任意修改账户漏洞	同联科技网吧信息安全管理系统SQL注入及奇葩信息泄漏漏洞	职友集网可以任意修改用户资料信息
无觅

走秀网利用XSS+STRUCT2任意执行命令

September 18, 2014, 4:32 am

≪ Previous: 天格科技某处越权漏洞可修改任意账户资料

$

0

0

在吐槽处插入XSS代码[......]

Read more

您可能也喜欢：
漏洞预警：HFS 2.3x 远程命令执行漏洞	如家管理大学 Structs2命令执行漏洞	中国电信某分站两系统ST2命令执行(测速&集团NOC系统)	某银联平台通用性st2命令执行漏洞	中国移动某业务Struct2漏洞getshell
无觅