Goby漏洞更新 | YoudianCMS v9.5.0 sql注入(CVE-2022-32300)

已于 2023-04-06 18:54:21 修改
阅读量915 收藏
点赞数
分类专栏: Goby 漏洞 红队版 文章标签: sql 数据库 网络安全
于 2023-04-06 18:44:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/129995673
版权
Goby 同时被 3 个专栏收录
192 篇文章 31 订阅
订阅专栏
漏洞
140 篇文章 3 订阅
订阅专栏
红队版
121 篇文章 4 订阅
订阅专栏

漏洞名称:YoudianCMS v9.5.0 sql注入(CVE-2022-32300)

English Name:YoudianCMS v9.5.0 SQL Injection (CVE-2022-32300)

CVSS core: 8.8

影响资产数:987

漏洞描述:

YouDianCMS是一个网站CMS。YoudianCMS v9.5.0版本存在安全漏洞,该漏洞源于通过/App/Lib/Action/Admin/MailAction.class.php处的MailSendID参数发现存在SQL注入漏洞。

漏洞影响:

攻击者通过sql注入漏洞读取数据库用户密码等敏感文件

FOFA查询语句(点击直接查看结果):

body=“YoudianCMS”

此漏洞已可在Goby漏扫/红队版进行扫描验证

Goby社区版下载:Goby社区版免费下载

查看更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
专栏目录
vulfocus youdiancms 9.5.0 版本 SQL注入CVE-2022-32300
weixin_61913198的博客
10-19 964
描述: 友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。使用sqlmap一把梭,注意,这里需要使用抓包方式注入,因为是后台sql注入,会校验cookie,直接复制xray数据包,删除payload进行注入。登陆后台使用被动扫描访问该地址,Xray成功扫描出该地址存在sql注入漏洞。然后使用cmd5解密。写入成功后,蚁剑连接。
youdiancms(友点cms)漏洞
weixin_50464560的博客
08-28 3606
前言 在近期的授权项目中,遇到了一个目标,使用了youdiancms,需要获取权限,进而进行审计,本次代码审计过程先发现SQL注入漏洞,继续审计发现getshell的漏洞,本文将本次审计过程书写下来,仅作为学习研究,请勿用作非法用途。 0x01 未授权SQL注入首先拿到源码一看,发现该系统是基于THINKPHP3开发的。 在App/Lib/Action/HomeBaseAction.class.php:16 cookie可控,然后赋值给了$this->_fromUser 跟踪一下$this->
漏洞复现|youdiancms 9.5.0 版本 SQL注入CVE-2022-32300
weixin_50791426的博客
11-26 3382
友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。通过 /App/Lib/Action/Admin/MailAction.class.php 中的 MailSendID 参数发现 YoudianCMS v9.5.0 包含 SQL 注入漏洞。易受攻击的URL为:/index.php/Admin/mail/viewLog?
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞1
youdiancms 9.5.0 版本 SQL注入CVE-2022-32300
最新发布
qq_23003811的博客
07-18 326
友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。通过 /App/Lib/Action/Admin/MailAction.class.php 中的 MailSendID 参数发现 YoudianCMS v9.5.0 包含 SQL 注入漏洞数据库:root/root 数据库名:youdian。3、接下来就是爆表名、爆字段和数据找flag了。
友点 9.5.0 版本 SQL注入(CVE-2022-32300)
qq_51780583的博客
05-17 404
vulfocus youdiancms 9.5.0 版本 SQL注入CVE-2022-32300
youdiancms 9.5.0 版本 SQL注入(vulfocus复现)
qq_40646572的博客
04-24 1507
从上述信息,可以看到,web服务的80端口被映射到62461端口,并且该服务对外开启了3306端口并映射到20130 端口。并且给了数据库的相关信息。
YouDianCMS
04-06
友点企业网站管理系统集电脑站、手机站、微信、APP、小程序于一体,共用空间,数据同步,是国内五站合一优秀解决方案。系统采用PHP开发,具有操作简单、功能强大、稳定性好、易扩展、安全性强、维护方便等特点,可帮您快速构建一个强大专业的企业网站。系统支持多语言、自定义模型、SEO优化、静态页生成、评论留言、购物车、在线支付、订单管理、会员、广告、招聘等企业网站基本功能。运行环境:PHP5.2+MYSQL+Zend Optimizer 3.3或PHP5.3+MYSQL+Zend Guard Loader 3.3 一、友点企业网站管理系统YouDianCMS系统特点 1)电脑站+手机站+微信五站合一 节约成本 电脑站、手机站、微信、APP、小程序五站合一:共用一个管理后台;只要录入一次数据,五站数据自动同步,降低人力维护工作量;只要一个虚拟主机,有效节约空间投资。 2)操作简单方便 即看即懂 后台操作简单方便 ,一看即懂,无需花大量时间学习,让您更专注于企业网站运营、策划、销售等业务活动。 3)模板精心设计 兼容各主流浏览器 模板采用DIV+CSS布局,并兼容 IE6/7/8/9/10、Google Chrome、Firefox、Opera、Webkit、搜狗、360、遨游等浏览器。 4)内置SEO功能 提升网站搜索引擎排名 SEO功能包含页面标题、关键词、描述设置;搜索引擎提交;关键词内链自动生成;页面静态名称自定义;伪静态/静态;网站地图生成等功能。 5)多语言支持 轻松打造国际站 支持中文、英语、中英双语,可自行在后台设置,是外贸网站首选。 6)支持网站换肤 多套模板任意切换 系统支持安装多套网站模板,可以一键切换模板而无需重新录入网站资料,可轻松换肤。 7)自动生成HTML静态文件 减少维护量 采用先进的静态HTML缓存策略技术,通过设置一个缓存时间,可以自动生成静态HTML文件,而无需人工生成HTML,从而减少维护工作量。 8)一键备份全站 轻松完成网站迁移 系统内置一键备份全站资料和数据库功能,让非技术人员也能轻轻松松将网站从一台服务器迁移到另一台服务器。 9)可以自己动手设计模板 产品设计采用MVC模式开发,前台(模板)和后台完全分离,利用我们提供的模板标签手册,不用懂编程也可以自己动手设计和修改模板。 二、微信网站功能 1、 关注自动回复: 关注公众号回复信息,可设置文本消息,图文消息和音乐消息 2、 关键词自动回复 3、 一键拔号 4、 一键导航 5、 地理位置回复 发送地理位置后,可查询附近的指定地点的位置,如输入“附近300米酒店”即可返回附近300米酒店的信息 6、 自定义微菜单:便捷直面,随意定制,快速引导,精确定位 7、 微活动:幸运大转盘和刮刮卡 8、 微会员卡:微时代,永不挂失的会员卡,可每日签到吸引粉丝参与的积极性,可分兑换,发放优惠卷等功能 9、 微查询:如天气查询、手机归属地查询、公交换乘查询、公交查询、火车车次查询、健康指数查询、翻译、快递查询、股票查询、人品计算、周公解梦、成语词典、邮编查询、菜谱、糗事、笑话等查询 10、 微调查:无需人力,电子调查,为调研添加有力数据 11、 微投票 12、 微网站:网站栏目可自定义,与电脑站同步数据,共用后台和空间 YouDianCMS7.4版 更新日志: 1.[增加]管理后台增加【插件管理】功能,并将数据采集、邮件群发移动至插件管理 2.[增加]增加【三级分销】插件 3.[增加]增加【七牛云】插件,可以将网站静态资源(如:图片、css样式、js脚本等)镜像到七牛云,从而大大提高网站速度;也可以将大文件直接上传到七牛云,支持断点续传 4.[优化]全面升级后台编辑器ckeditor至最新4.8版本,支持多图插入和上传、设置行高、从word文档可以直接粘贴图片并自动上传到服务器、高版本ie打开编辑器不再有兼容问题 5.[增加]产品规格属性增加图片,增强用户体验 6.[增加]实现发布文章时自动将地址推送到百度,通知百度收录,更有利于SEO 7.[增加]在后台【其他设置】能够设置登陆地址 8.[增加]频道模型增加【地理位置】类型字段,点击打开百度地图,可以可视化获取经纬度 9.[增加]频道模型增加【颜色】类型字段,可以可视化选择颜色 10.[优化]为了便于设置权限,自动生成的网站地图已经放到Data/map目录下 11.[优化]目前权限设置更简单:安装好系统后,请将整个系统根目录设置为只读,然后再将/Data目录和/Upload目录设置为可读写去可执行权限,可有效防止网站被攻击 12.[增加]模板配置变量,频道列表增加了【不显示当前版块】,以便控制前台版块隐藏和显示 13.[增加]在后台可以设置搜索页面分页条数 14.[优化]简化上传步骤,点击【上传】
Python库 | signingscript-9.5.0-py3-none-any.whl
04-26
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:signingscript-9.5.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | gurobipy-9.5.0-cp37-cp37m-macosx_10_9_x86_64.whl
05-06
资源分类:Python库 所属语言:Python 资源全名:gurobipy-9.5.0-cp37-cp37m-macosx_10_9_x86_64.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
YouDianCMS 开源五合一建站系统 v9.0
11-03
为您提供YouDianCMS 开源五合一建站系统下载,YouDianCMS即友点企业网站管理系统集电脑站+手机站+微信站+APP+小程序五合一,数据自动同步,降低人力维护成本;共用一个管理后台,只要一个虚拟主机,有效节约空间投资。系统采用开源技术PHP+MYSQL开发,开源且具有操作简单、功能强大、稳定性好、易扩展、安全性强、维护方便、兼容性好等特点,可帮您快速构建一个强大专业的企业网站。系统支持多语言轻松打造国际站、自定义模型、支持网站模板换肤、内
YouDianCMS 友点企业网站管理系统 v7.4
12-08
友点企业网站管理系统集电脑站、手机站、微信、APP、小程序于一体,共用空间,数据同步,是国内五站合一优秀解决方案。系统采用PHP开发,具有操作简单、功能强大、稳定性好、易
YouDianCMS v6.8.1 PC手机微信三合一 友点企业网站管理系统 三站合一网站
05-31
友点企业网站管理系统集电脑网站、手机网站、微信三站合一,只要录入一次数据,三站数据自动同步,降低人力维护成本;共用一个管理后台,只要一个虚拟主机,有效节约空间投资。系统采用PHP进行开发,它具有操作简单、功能强大、稳定性好、易扩展、安全性强、后期维护方便等特点,可以帮您迅速、轻松地构建起一个强大专业的企业网站。系统支持多语言、自定义模型、SEO优化、静态页生成、评论留言、订购、会员、广告、招聘、统计、自助表单等常见企业网站基本功能。运行环境:PHP5.2 + MYSQL5.0以上 + Zend Optimizer 3.3 一、友点企业网站管理系统YouDianCMS系统特点 1)电脑站+手机站+微信三站合一 节约成本 电脑站、手机站、微信三站合一:共用一个管理后台;只要录入一次数据,三站数据自动同步,降低人力维护工作量;只要一个虚拟主机,有效节约空间投资。 2)操作简单方便 即看即懂 后台操作简单方便 ,一看即懂,无需花大量时间学习,让您更专注于企业网站运营、策划、销售等业务活动。 3)模板精心设计 兼容各主流浏览器 模板采用DIV+CSS布局,并兼容 IE6/7/8/9/10、Google Chrome、Firefox、Opera、Webkit、搜狗、360、遨游等浏览器。 4)内置SEO功能 提升网站搜索引擎排名 SEO功能包含页面标题、关键词、描述设置;搜索引擎提交;关键词内链自动生成;页面静态名称自定义;伪静态/静态;网站地图生成等功能。 5)多语言支持 轻松打造国际站 支持中文、英语、中英双语,可自行在后台设置,是外贸网站首选。 6)支持网站换肤 多套模板任意切换 系统支持安装多套网站模板,可以一键切换模板而无需重新录入网站资料,可轻松换肤。 7)自动生成HTML静态文件 减少维护量 采用先进的静态HTML缓存策略技术,通过设置一个缓存时间,可以自动生成静态HTML文件,而无需人工生成HTML,从而减少维护工作量。 8)一键备份全站 轻松完成网站迁移 系统内置一键备份全站资料和数据库功能,让非技术人员也能轻轻松松将网站从一台服务器迁移到另一台服务器。 9)可以自己动手设计模板 产品设计采用MVC模式开发,前台(模板)和后台完全分离,利用我们提供的模板标签手册,不用懂编程也可以自己动手设计和修改模板。 二、新增信网站功能 1、 关注自动回复: 关注公众号回复信息,可设置文本消息,图文消息和音乐消息 2、 关键词自动回复 3、 一键拔号 4、 一键导航 5、 地理位置回复 发送地理位置后,可查询附近的指定地点的位置,如输入“附近300米酒店”即可返回附近300米酒店的信息 6、 自定义微菜单:便捷直面,随意定制,快速引导,精确定位 7、 微活动:幸运大转盘和刮刮卡 8、 微会员卡:微时代,永不挂失的会员卡,可每日签到吸引粉丝参与的积极性,可分兑换,发放优惠卷等功能 9、 微查询:如天气查询、手机归属地查询、公交换乘查询、公交查询、火车车次查询、健康指数查询、翻译、快递查询、股票查询、人品计算、周公解梦、成语词典、邮编查询、菜谱、糗事、笑话等查询 10、 微调查:无需人力,电子调查,为调研添加有力数据 11、 微投票 12、 微网站:网站栏目可自定义,与电脑站同步数据,共用后台和空间 YouDianCMS v6.8.1 PC手机微信三合一 更新日志: 1.[新增]实现微信支付功能(微信公众号支付和微信扫描支付) 2.[新增]实现QQ账号登录 3.[优化]优化支付流程,支付时,可以选择不同的支付方式 4.[修复]修改翻译时间结果的错误 5.[优化]当频道很多是,修改频道变得很慢,添加缓存机制,让其缩短为2秒内 6.[优化]优化百度翻译结果 7.[修复]数据采集规则不能保存英文版规则的问题 8.[修复]修正skype不显示图片的bug
YouDianCMS-PHP
06-25
YouDianCMS即友点企业网站管理系统集电脑站+手机站+微信站+APP+小程序五合一,数据自动同步,降低人力维护成本;共用一个管理后台,只要一个虚拟主机,有效节约空间投资。系统采用开源技术PHP+MYSQL开发,开源且具有操作简单、功能强大、稳定性好、易扩展、安全性强、维护方便、兼容性好等特点,可帮您快速构建一个强大专业的企业网站。系统支持多语言轻松打造国际站、自定义模型、支持网站模板换肤、内置SEO优化功能、静态页、评论留言、购物车、在线支付、优惠券、积分、三级分销、订单管理、会员、数据采集、短信接口、插件应用商店、广告等企业网站基本功能。运行环境:PHP5.3/5.4/5.5/5.6/7.0/7.1/7.2/7.3 + MYSQL。 运行环境: 操作系统:跨平台,支持Windows、Unix、Linux等操作系统 WEB服务器:IIS/APACHE/NGINX等 PHP环境:PHP5.3-8.0 数据库:MYSQL5.0-8.0 产品特点: 1、完全开源:系统采用开源技术PHP+MYSQL开发,安全、成本低、性价比高、方便安装(全面支持PHP的最新版本)、功能不受限制、使用灵活;全面开放系统前端+后台的源代码,解除了开发者和用户的后顾之忧,完全支持二次开发,没有预留后门,代码使用权自己轻松掌握 2、五站合一:电脑站、手机站、微信、APP、小程序五站合一,共用空间,数据同步,不用维护多个端口数据,一个后台就搞定 3、系统跨平台:Unix/Linux+windows,支持跨平台安装,一键备份轻松搞定网站迁移 支持扩展插件,功能可以无限扩展:系统后台插件应用商店集成了功能强大的免费插件:包含数据采集、三级分销、七牛云存储、邮件群发、图像批量处理等 4、内置网站优化功能SEO优化:系统后台可以设置伪静态、设置HTML静态缓存策略、搜索引擎优化设置、常用搜索引擎登录入口、生成网站地图、生成关键词内链、百度自动推送 5、可以DIY装修模板:可视化编辑,所见即所得!可DIY装修模板,高级装修组件,还拥有非常丰富的样式选择,不用写代码,也可以装修出漂亮的网站!  功能模块: 功能列表 核心功能:电脑站、手机站、微信、APP、小程序五站合一,共用空间,数据同步;一键备份全站(备份所有程序文件、上传文件、数据库),方便网站迁移;手机站和电脑站可独立绑定一级域名、共用空间、数据同步;领先的静态HTML文件缓存策略技术,通过设置缓存时间,自动生成HTML文件,再无需手工生成HTML;内置搜索引擎优化功能,方便网站优化;内置插件,功能无限扩展 系统设置:基本设置、联系方式设置、水印设置、文件上传设置、站长统计设置、百度分享设置、缩略图设置、数据库设置、邮箱设置、语言设置、第三方登录设置、手机网站设置、其它设置等 系统管理:自定义标签管理、数据库管理、数据库还原、频道模型管理、一键备份全站、操作日志管理、网站目录权限检测、菜单管理、区域管理 内容管理:频道管理、专题管理、类型管理、信息管理(各个频道信息增删改查) 互动管理:在线客服管理、第三方在线客服管理、订单管理、配送方式管理、支付方式管理、销售统计、资金管理、积分管理、优惠券管理、留言管理、人才招聘、评论管理 广告管理:幻灯片管理、幻灯分组管理、广告内容管理、邮件群发管理、订阅邮箱管理、邮件订阅分类管理、友情链接管理、友情链接分类管理 会员管理:会员信息管理、会员分组管理、会员功能设置、管理员信息管理、管理员分组管理 APP管理:内置APP端支持,在后台可以查看APP安装统计、活跃度分析! 网站优化:伪静态设置(是否启用伪静态、伪静态扩展名设置)、搜索引擎优化设置(页面标题Title、页面关键词Keywords、页面描述Description)、常用搜索引擎登录入口、生成网站地图、生成关键词内链 微信平台:微信绑定设置、基本信息设置、微信自定义菜单设置、小程序设置、微信功能设置、关注自动回复、关键词自动回复、地理位置自动回复、默认自动回复、微消息、微查询、微活动、微投票、微调查、微会员卡 模板管理:电脑模板管理(在线模板安装、模板选择、模板管理、样式管理)、手机模板管理(在线模板安装、模板选择、模板管理、样式管理) 插件管理:系统支持扩展插件,内置插件有:数据采集、三级分销、七牛云存储、邮件群发、图像批量处理等,可自行开发插件,无限功能自由扩展 缓存管理:一键清除系统所有缓存、HTML静态缓存管理(缓存时间设置、一键清除网站首页/频道首页/内容页面Html静态缓存) YouDianCMS 9.2.6版 更新日志: 1、【新增】程序兼容PHP8.0 2、【优化】优化系统升级算法,更人性化 3、【优化】模板装修功能优化与增强 4、【优化】完善产品OEM功能 5、【BUG】修复部分已知BUG
友点youdiancms7.0解密版
04-10
友点cms解密版本,php5.2、5.3通用 可进行二次开发修改版权信息
nginx 上传文件漏洞_【安全漏洞通告】YouDianCMS 存在文件上传漏洞
weixin_34898216的博客
12-11 333
安全漏洞通告INFORMATIONYouDianCMS存在文件上传漏洞01漏洞背景友点企业网站管理系统是长沙友点软件科技有限公司旗下自主研发产品之一。是一款可以集电脑站、手机站、微信公众号、小程序、APP五站合一,共用空间,数据同步的内容管理系统软件。手机站和电脑站可独立绑定一级域名。静态HTML文件缓存策略技术可自动生成HTML文件系统。内置网站优化SEO。系统采用开源PHP+MYSQ...
thinkphp youdian cms 实际操作 eq list等解析
groundhappy的专栏
06-13 271
参见tp3.0手册8.13 <eqname="name"value="value">相等<else/>不相等</eq> 就是说php中如果 assign(name,value) name=value执行 相等中的。否则执行不相等的 对于youdiancms中 <eq name="TShowTop" value="1"> 显示头部 &l...
Goby漏洞更新 | Altenergy Power System Control Software set_timezone 远程命令执行漏洞CVE-2023-28343)
m0_46699477的博客
03-21 705
Altenergy Power System Control Software set_timezone 远程命令执行漏洞CVE-2023-28343)
YouDianCMS建站系统|后台管理员账号被锁定了怎么办?
chulan8907的博客
06-20 745
这里经常会有用户无意间操作点击把后台超级管理员给锁定了,导致无法进入后台,这种情况应该怎么处理呢? 下面就来给大家介绍下具体的方法: 第一步:找到并打开数据库youdian_admin表(表前缀根据具体您自己设定的查找) 第二步:把表里面的 IsLock 的值改为0...
youdiancms v9.5.0
09-06
有点cms v9.5.0是一个基于PHP的开源内容管理系统。该系统提供了许多功能和特性,使用户能够方便地创建、编辑和管理网站内容。 首先,youdiancms v9.5.0具有友好的用户界面,使用户能够轻松地浏览和操作系统。它提供了一个直观的后台管理界面,用户可以使用该界面来添加和编辑页面、文章和其他网站内容。 其次,youdiancms v9.5.0支持多种类型的内容,包括文字、图片、音频和视频等。用户可以根据自己的需求,选择合适的内容类型来发布在网站上。 此外,youdiancms v9.5.0还具有强大的SEO优化功能。它允许用户为每个页面或文章设置自定义的元标记、关键词和描述,从而提高网站的搜索引擎排名。 另外,youdiancms v9.5.0还支持多种插件和主题,用户可以根据自己的需求自定义网站的外观和功能。用户可以从插件市场中下载和安装各种插件,例如社交媒体分享、表单构建和网站统计等。 总的来说,youdiancms v9.5.0是一个功能强大、易于使用的内容管理系统,适合个人和小型企业使用。它提供了许多功能和特性,使用户能够轻松地创建和管理网站内容,同时具有良好的SEO优化功能,帮助网站在搜索引擎中获得更高的排名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值