原站点荣誉墙(http://old.evilxyz.xyz/?page_id=248)
为国争光项目http://evilxyz.xyz/index.php/archives/23/
漏洞墙
主要是2020年4月以后,新挖掘的漏洞,和一些其他项目怕到时候年终总结不记得自己搞了多少东西;
为什么叫漏洞墙呢,就是拉出来晒晒太阳,不然啥时候撞洞了自己都不知道,万一失信就得搭上另一个漏洞,多不值。
除了是一个专职的0day漏洞赏金猎人外,src bug bounty也做,但是年纪大有点刷不过年轻人了,CNVD也可以看到我。
已经有专门定制我0day的老板,给的价格也合理 守信,如果是只想买一个漏洞,做一次生意的,那估计不用加我;如果是想定制xxx代码审计或者xxx项目渗透测试或者是xxx安全工具定制或者是AI上有新想法什么的,可以加我微信,finger_xyz,fingerxyz/QQ 229686485。或者是有大价格或者长期合作意向的,加微信请备注。
鉴于有些老板拖着不付帐,可以要换0day交易商了,可以提供漏洞成品或者半成品。如果有定制需求的话,可以直接联系我。但只是个小团队,体量太大的也承受不住
| 序号 | 类别 | 项目 | 漏洞说明 | 备注 |
|---|---|---|---|---|
| 01 | web | drupal | 某版本新sqli,之前修补均无效 算是绕过 | 有效4-1 |
| 02 | web | 国外不开源cms typo低版本 | 黑盒找到一个存储xss,可惜我目标中很多没开放注册功能 | 有效4-4 |
| 03 | 路由 | tplink | 一个诡异的XSS CSRF,可修改密码,问题是要进入这个网络 | 有效4-4 |
| 04 | web | maccms | 注册后任意用户 sql注入 | 有效4-4 |
| 05 | web | dedecms5.7 | 漏洞3 SSRF ,后台sql注入2 不同param,XSS后台处,这些漏洞很合适进后台getshell | 有效4-7 |
| 06 | 培训 | 从代码审计到洪武 | 基本上就是白盒审计讲解 ->0day ->灰盒设计 ->人工智能安全 | 没讲4-11 |
| 07 | web | ewomail | sqli注入,听说别人也有(4-11) | 可能撞4-11 |
| 08 | 算法 | YOLO V3某一版本 | 算法漏洞或者说缺陷,可绕过检测 感觉也能在tf上某些目标检测下有效 | 某一小版本 有效 tf待验证4-12单一版本有效 不是通杀~ |
| 09 | 灰盒-人工智能工具 | HWGRVD-AI | 基本完成漏洞模块,自动化不知道怎么写了 | 4-13 |
| 10 | mobile-web | 某棋牌app 框架 | 通杀 sql时间盲注入 在本地测试和部分目标ok,有些目标是上了waf还是什么,会失败,或者脱裤很慢 | 4-13 |
| 11 | python-web | flask某几个版本 | 命令执行 | 有效4-6 |
| 12 | es | es未授权的新绕过 可以过绝大部分waf | 执行 | 4-24有效 |
| 13 | SilverStripe | 某版本文件包含,一定条件下课getshell | 包含getshell 取决于配置 | 4-25有效 |
| 14 | phpmail | 伪文件包含+敏感信息 | 能不能getshell取决于人品 | 5-6 |
| 15 | thinkphp3.2 3.1 其他无效 | 新update注入,非之前绕过!!!感觉可以通杀bc站 | 注入你懂的 | 5-7有效,此漏洞不出 |
| 16 | 通达OA | 某两个版本 | getshell + 任意用户登陆 | 5-8有效 泄漏 |
| 17 | semmf | SQL注入 | 只能用insert注入,会破坏数据库,必须插入一些垃圾数据 | 5-9有效 |
| 18 | 帆软10.0 | getshell | 闲着没事干 | 5-9有效 |
| 19 | thinkphp5.x | insert注入 POST传的 $t参数 | 已经测试三个版本,基本确定是通杀 | 5-9有效 |
| 20 | 通达OA | 普通用户登入 后台处有可getshell点 | 1 | 5-14有效 不通杀 |
| 21 | wordpress5.2 op插件 | SQL注入 读文件 | 单版本fi函数出问题 | 5-14有效 |
| 22 | 泛微OA | 登入后一处XSS 在HW的话 说不定有点作用,可以钓鱼 | 1 | 5-14有效,单一版本 |
| 23 | DLINK | RCE | 条件为接入后RCE | 5-19有效 单一版本 |
| 24 | ibos门户站 | SQL注入 | 两个参数均能前台注入 | 有效5-20 |
| 25 | 极速PDF | 最新版内存泄漏 | 应该有敏感信息,但我一直没抓到 win10-1909测试通过 | 5-20有效 |
| 26 | thinkcmf | 2.x全版本通杀 | 注入+SSTI+RCE 感觉每个漏洞都很大威力 衍生于此cms的一些shopcms也通杀 | 5-20有效 |
| 27 | wordpress | find and replace插件 | csrftostorexss | 5-21有效 |
| 28 | LCMS | getshell | 任意文件上传绕过 | 5-21有效 |
| 29 | wordpress | seo插件 | 权限提升,可以由订阅者提升为管理;此插件用户量极大 top10 | 5-21有效 |
| 30 | 某网卡 | getshell | 直接嗅探到敏感信息getshell 早就发现了 现在才fuzz分析并exp | 5-22有效 |
| 31 | metinfo | 5.3.x | 组合漏洞,有可能最后getshell吧,主要是利用条件太苛刻了 不是很好用 基本上全默认就可以 | 5-23有效 |
| 32 | EML管理系统 | 全版本通杀 | SQL注入,如默认安装可注入写马,默认权限给的大 一般般 | 5-23有效 |
| 33 | spring boot | 一个信息泄漏 | 一个信息泄漏 和没有差不多 | 6-1有效 |
| 34 | wordpress | 插件rel link | xss | 6-1有效 |
| 35 | phpmail | csrf 可改密码 | csrf | 6-1有效 |
| 36 | nordvpn | getshell | 直接拿到shell 权限设置问题 | 6-1有效 |
| 37 | thinkphp | 某版本 | 任意文件写入 getshell | 6-1有效 |
| 38 | 家用路由某某某 | 某固件 | 进入内网即可getshell 一个待提权的shell | 6-1有效 |
| 39 | zoom | js跨域执行 | 效果几乎等同于RCE,但还有一些限制,exp部分有点难利用,目前poc和弹计算器成功 | 6-5有效 |
| 40 | kkcms | SQL注入 | 没啥用 就能后台 getshell找不到相应的点 | 6-8有效 |
| 序号 | 类别项目 | 漏洞说明 | 备注 |
|---|---|---|---|
| 1 | 2 | 4 | 5 |
| 41 | 三星手机android9 | 三星android9以上某组件,远程代码执行但是限制条件太多了 | 6-8有效 |
| 42 | WMcms任意代码执行 | RCE | 6-8有效 |
| 43 | CRM远程命令执行 sqli | 一个执行 一个注入 啥都有了 | 6-8有效 |
| 44 | TXQPHP注入 | 傻逼注入二 | 6-8有效 |
| 45 | bbs一个什么什么公司的bbs 学校的江苏的 | getshell 为了做武汉某高校站 黑盒出来的0day | 6-8有效 |
| 46 | 华为家用路由其实是荣耀路由3 2020.04 固件 | 信息泄漏,可获得admin登陆 聊天扯皮就完成了... | 6-8有效 |
| 47 | emlog全版本getshell | getshell 文件操作加注入 | 6-8有效 |
| 48 | dz后台代码执行 | 一般来说 有用户组权限之后,就能getshell,其实也有条件。。 | 6-9有效 |
| 49 | LFcms任意文件读取漏洞 | 任意文件读取漏洞 没啥特别的 垃圾 | 6-9有效 |
| 50 | tp-link id ---csrf---xss | 基本上也是打管理员那个套路 | 6-9有效,其实是四月份的漏洞 完成了 |
| 51 | typecho存储xss csrf | 基本上管理员gg了 | 6-13有效 |
| 52 | thinkphpsqli | 小版本 另一个点 | 6-13有效 |
| 53 | TIM | QQ tim 桌面版 某几个版本 xss 弹xss没问题,弹calc有点难度,还没理好 | 6-13有效 |
| 54 | padddle百度飞浆 | paddlepaddle 文件操作,破坏模型,但需要一点的操作权限,不是任务 | 6-13有效 |
| 55 | D LINK | DLINK 8xx路由缓冲区溢出,敏感内容泄漏 | 6-15有效 |
| 56 | dlink又是 | dlink的另一个固件的漏洞,可远程命令执行 搜索一圈,应该是个0day 这么简单的漏洞都没人发现么 | 6-16有效 |
| 57 | 华为路由3 | 内核漏洞 内存破坏 远程 可命令执行(但有限制还没突破) | 6-21有效 |
| 58 | TPSHOP | SQLZHURU | 6-23有效 |
| 59 | thinkphp 3.x | SQL注入 0day | 6-23有效 |
| 60 | windows 某组件,ACL访问控制 | 可在域内提权 只能域控,或者手动安装 | 6-29有效 |
| 61 | android8.1 | 组件漏洞,可造成重启效果。 | 6-29有效 |
| 62 | 网件路由,低版本 | 越权,admin登陆 | 6-29有效 |
| 63 | fastjson | 68 原漏洞新绕过方式 | 6-29有效 |
| 64 | sophos | RCE 远程命令执行 | 6-29有效 |
| 65 | 某某cms | bc的cms 的登入后 SQL注入 | 6-29有效 |
| 66 | google voice 新0day | 带有voice功能的 均可xss | 6-29有效 |
| 67 | 国内某第三方企业邮服提供商 | 存储xss 登入后点击邮件触发, web端 pc端均有,ios android 取cookie 有问题。 | 6-29有效 |
| 68 | 通达OA | 远程命令执行,另一个点0day | 6-29有效 |
| 69 | weiphp | 文件操作--getshell/还有一个存储xss | 6-29有效 |
| 70 | 联想商场那套cms | SQL注入 前台 | 6-29有效 |
| 71 | 腾达路由 | 某版本固件 远程命令执行 | 6-29有效 |
| 72 | AA支付-cms | 前台SQL注入 | 6-29有效 |
| 73 | freenas | 未授权任意文件读取 rce等 | 6-29有效 |
| 74 | vBulletin | SQL注入 | 6-29有效 |
| 75 | es文件管理器 | android ,注入漏洞效果一般 | 6-29有效 |
| 76 | phpmyadmin | XSRF 一般般 | 6-29有效 |
| 77 | Python Tendenci | 反序列化 getshell | 6-29有效 |
| 78 | MySQL 5.8 | MySQL客户端任意文件读取 | 6-29有效 |
| 79 | 基于UDP的私有协议xxx | 逆向分析后找到了一个感觉可以未授权的点 | 6-29有效 |
| 80 | jizhi cms | SQL注入 getshell | 7-1有效 |
计划中写了:
要放慢挖掘漏洞的速度,做点自己内心想要的东西;
尽管产出了许多漏洞,但一点成就感都没有;
你到底想要什么,败犬.
from 7-1败犬的下半年计划
| 序号 | 漏洞说明 | 备注 |
|---|---|---|
| 81 | ruoyi framework 反序列化+CSRF 相当于白嫖 | 7-4有效 |
| 82 | dlink某版本 远程命令执行 | 7-10有效 |
| 83 | dlink另一版本 内存破坏 | 7-10有效 |
| 84 | Cisco核心路由 文件读取+内存破坏(死机效果) | 7-24 |
| 85 | .net 4.5.2 SharePoint 泄露 | 7-24 |
| 86 | 华硕asus 路由远程命令执行 | 8-1 |
| 87 | dlink 摄像头路由 getshell 直接获取到普通权限的shell 尚未提权 | 8-4 |
| 87+ | dlink 这个提不了权,sandbox有点过不去 | 8-7q |
通知 9-02
根据8月28日,商务部和科技部联合公布《中华人民共和国技术进出口管理条例》和《中国禁止出口限制出口技术目录》,
本人再也不会更新此漏洞墙,也不会上H1 zdi bugcrowd提交漏洞了,
但我也不愿意在国内提交,也不愿违反国家相关规定,所以干脆就不再公开提交和出售任何漏洞.
专心致志生产工具或者做些自己喜欢的事情.
之前还有朋友问我国内有没有相对靠谱点的漏洞提交平台,犹豫了下,还是推荐下吧:(别说什么上不封顶了,国内国外都差不多)
360bugcloud https://bugcloud.360.cn/hello
知道创宇 女娲计划https://nvwa.org/index_zh.php
目标范围:
360:
收集到的一些通用软件的名称和网址,收藏挖洞
附:一些关键基础设施领域参考: 电力、银行、证券、保险、交通、铁路、民航、医疗、水利、智慧城市、社保、公积金、气象局、地震局、电信行业、教育、国土资源、能源、新闻广电、党政机关、政府
创宇:
目标范围
包括但不限于以下范围,目标范围会定期更新
最新目标列表new
目标 版本 类型 要求 日期 有效期(d) 最高单价(人民币)
NEC NEC Router RCE/DoS 零交互 2020-04-01 2020-12-31 300,000
Piolink Piolink Router RCE/DoS 零交互 2020-04-01 2020-12-31 300,000
ForcePoint FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Hillstone FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 400,000
Ahnlab FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 300,000
Cisco 1800/1900 Router RCE/DoS 零交互 2020-04-01 2020-12-31 500,000
Cisco ASR1000 Router RCE/DoS 零交互 2020-04-01 2020-12-31 700,000
Cisco Catalyst9000 Router RCE/DoS 零交互 2020-04-01 2020-12-31 550,000
Juniper QFX switches RCE/DoS 零交互 2020-04-01 2020-12-31 800,000
Juniper OCX switches RCE/DoS 零交互 2020-04-01 2020-12-31 800,000
Juniper T Router RCE/DoS 零交互 2020-04-01 2020-12-31 1000,000
Juniper PTX Router RCE/DoS 零交互 2020-04-01 2020-12-31 600,000
Juniper ACX Router RCE/DoS 零交互 2020-04-01 2020-12-31 500,000
富士通IPCOM FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 300,000
Microsoft ForeFront TMG/ISA Network proxy RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
McAfee WebGateWay Network proxy RCE/DoS 零交互 2020-04-01 2020-12-31 500,000
Sonicwall VPN RCE/DoS 零交互 2020-04-01 2020-12-31 450,000
NSD DNS RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
PowerDNS DNS RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
UltraDNS DNS RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Postfix Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Zmailer Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Mdeamon Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Winmail Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
PowerMTA Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Lotus Domino Web service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000
Oracle Database RCE/DoS 零交互 2020-04-01 2020-12-31 500,000
Portable SDK for UPnP devices CIG Router RCE 零交互 2020-05-01 2020-12-31 350,000
长期目标
目标 版本 类型 要求 日期 有效期(d) 最高单价(人民币)
Windows Windows7/8/10/2008/2012 RCE 零交互 2019-11-01 永久 10,000,000
Firefox Windows/MacOS RCE/LPE 零交互 2019-11-01 永久 800,000
Android Mainstream Android Mobile OS FCWP 零交互 2019-11-08 永久 20,000,000
iOS Mainstream Apple iOS FCWP 零交互 2019-11-08 永久 15,000,000
WhatsApp Android/iOS RCE/LPE 零交互 2019-11-08 永久 10,000,000
Telegram Android/iOS RCE/LPE 零交互 2019-11-08 永久 5,000,000
Chrome Windows/MacOS RCE/LPE 零交互 2019-11-08 永久 3,000,000
MS-Office Windows RCE 零交互 2019-11-08 永久 1,500,000
Other Office Windows RCE 零交互 2019-11-08 永久 500,000
Adobe-PDF Windows RCE 零交互 2019-11-08 永久 800,000
Cisco IOS RCE 零交互 2019-11-08 永久 5,000,000
juniper ScreenOS/... RCE 零交互 2019-11-08 永久 2,000,000
Fortigate-Firewall FortiOS RCE 零交互 2019-11-08 永久 800,000
Bluecoat-ProxySG - RCE 零交互 2019-11-08 永久 800,000
Defense Software Symantec/HP-arcsight/TrendMicro... RCE 零交互 2019-11-08 永久 500,000
VMware ESXi VMware ESXi VME 零交互 2019-11-08 永久 1,500,000
VMware Workstation VMware Workstation VME 零交互 2019-11-08 永久 600,000
Linux Mainstream Linux OS LPE 零交互 2019-11-08 永久 500,000
Solaris - LPE 零交互 2019-11-08 永久 500,000
Vnc Viewer Server Vnc Viewer Server RCE/DoS 零交互 2020-05-29 永久 500,000
Cisco webEX RCE 一次交互 2020-08-07 永久 500,000
ArcSight - RCE 零交互 2020-08-07 永久 350,000
Cpanel - RCE 零交互 2020-08-07 永久 350,000
H3C - RCE 零交互 2020-08-07 永久 500,000
FortiGate - RCE 零交互 2020-08-07 永久 350,000
Zabbix - RCE 零交互 2020-08-07 永久 500,000
Exchange - RCE 零交互 2020-08-07 永久 800,000
QEMU - VME 零交互 2020-08-07 永久 800,000
FreeBSD - LPE 零交互 2020-08-07 永久 500,000
ALL:RCE + LPE;RCE(Remote Code Execution):远程代码执行;LPE(Local Privilege Escalation):本地权限提升;SBX(Sandbox Escape Bypass):沙盒逃逸绕过;VME(Virtual Machine Escape):虚拟机逃逸;FCWP(Full Chain (Zero-Click) with Persistence):完整的利用链
12-4
很久没贴漏洞,其实产出还可以,特别是xx写完之后iot java 等二进制漏洞疯涨,cms也蛮多的 包含之前drupal8的 也出了五六个。mail的也有三四个。还不错。过年总结下今年的漏洞,贴个表出来吧。
之前和一些安恒的朋友,360的朋友等大公司朋友聊天,认识我的都知道,已经处于脱敏期了,很快就需要一份新工作,欢迎推荐。
突然发现我一个人挖的iot漏洞,应该比安恒的多(数量上),差不多三个月就比得上他们全年了... 证明了我写的基于深度强化学习(其实只是rl..)专家系统的二进制漏洞挖掘系统,比人力挖掘的安恒应该还是要强不少的,我做的很多漏洞挖掘的前期工作都是输入bin文件,等待验证exp程序,两个步骤,应该还算不错,但是还有很多的深入空间,因为environment这块我感觉一直没处理好,下次改吧。在漏洞质量上就说不定了,我有个蓝牙协议的,基本上通杀,这个算不错的。其他的一般般,有二三十个路由的rce之类的也还勉强。
之前有个很好的朋友也是安恒的大佬,问我要不要去安恒,其实一开始我是真觉得可以,毕竟大厂子,后面详细 各方位的了解后,发现不妥了。这环境真的是我想要的么,唉。我改何去何从
1 评论