原站点荣誉墙(http://old.evilxyz.xyz/?page_id=248) 为国争光项目http://evilxyz.xyz/index.php/archives/23/ # 漏洞墙 主要是2020年4月以后,新挖掘的漏洞,和一些其他项目怕到时候年终总结不记得自己搞了多少东西; 为什么叫漏洞墙呢,就是拉出来晒晒太阳,不然啥时候撞洞了自己都不知道,万一失信就得搭上另一个漏洞,多不值。 除了是一个专职的0day漏洞赏金猎人外,src bug bounty也做,但是年纪大有点刷不过年轻人了,CNVD也可以看到我。 已经有专门定制我0day的老板,给的价格也合理 守信,如果是只想买一个漏洞,做一次生意的,那估计不用加我;如果是想定制xxx代码审计或者xxx项目渗透测试或者是xxx安全工具定制或者是AI上有新想法什么的,可以加我微信,`finger_xyz`,`fingerxyz`/QQ `229686485`。或者是有大价格或者长期合作意向的,加微信请备注。 ### 鉴于有些老板拖着不付帐,可以要换0day交易商了,可以提供漏洞成品或者半成品。如果有定制需求的话,可以直接联系我。但只是个小团队,体量太大的也承受不住 |序号|类别|项目|漏洞说明|备注| |---|---|---|---|---| |01|web|drupal|某版本新sqli,之前修补均无效 算是绕过|有效4-1| |02|web|国外不开源cms typo低版本|黑盒找到一个存储xss,可惜我目标中很多没开放注册功能|有效4-4| |03|路由|tplink|一个诡异的XSS CSRF,可修改密码,问题是要进入这个网络|有效4-4| |04|web|maccms|注册后任意用户 sql注入|有效4-4| |05|web|dedecms5.7|漏洞*3 SSRF ,后台sql注入*2 不同param,XSS后台处,这些漏洞很合适进后台getshell|有效4-7| |06|培训|从代码审计到洪武|基本上就是白盒审计讲解 ->0day ->灰盒设计 ->人工智能安全|没讲4-11| |07|web|ewomail|sqli注入,听说别人也有(4-11)|可能撞4-11| |08|算法|YOLO V3某一版本|算法漏洞或者说缺陷,可绕过检测 感觉也能在tf上某些目标检测下有效|某一小版本 有效 tf待验证4-12单一版本有效 不是通杀~| |09|灰盒-人工智能工具|HWGRVD-AI|基本完成漏洞模块,自动化不知道怎么写了|4-13| |10|mobile-web|某棋牌app 框架 |通杀 sql时间盲注入 在本地测试和部分目标ok,有些目标是上了waf还是什么,会失败,或者脱裤很慢|4-13| |11|python-web|flask某几个版本|命令执行|有效4-6| |12|es|es未授权的新绕过 可以过绝大部分waf|执行|4-24有效| |13|SilverStripe|某版本文件包含,一定条件下课getshell|包含getshell 取决于配置|4-25有效| |14|phpmail|伪文件包含+敏感信息|能不能getshell取决于人品|5-6| |15|thinkphp3.2 3.1 其他无效|新update注入,非之前绕过!!!感觉可以通杀bc站|注入你懂的|5-7有效,此漏洞不出| |16|通达OA|某两个版本| getshell + 任意用户登陆|5-8有效 泄漏| |17|semmf|SQL注入|只能用insert注入,会破坏数据库,必须插入一些垃圾数据|5-9有效| |18|帆软10.0|getshell|闲着没事干|5-9有效| |19|thinkphp5.x|insert注入 POST传的 $t参数|已经测试三个版本,基本确定是通杀|5-9有效| |20|通达OA|普通用户登入 后台处有可getshell点|1|5-14有效 不通杀| |21|wordpress5.2 op插件|SQL注入 读文件| 单版本fi函数出问题|5-14有效 |22|泛微OA|登入后一处XSS 在HW的话 说不定有点作用,可以钓鱼|1|5-14有效,单一版本| |23|DLINK|RCE|条件为接入后RCE|5-19有效 单一版本| |24|ibos门户站|SQL注入|两个参数均能前台注入|有效5-20| |25|极速PDF|最新版内存泄漏| 应该有敏感信息,但我一直没抓到 win10-1909测试通过|5-20有效| |26|thinkcmf|2.x全版本通杀 |注入+SSTI+RCE 感觉每个漏洞都很大威力 衍生于此cms的一些shopcms也通杀|5-20有效| |27|wordpress| find and replace插件 |csrftostorexss|5-21有效| |28|LCMS|getshell|任意文件上传绕过|5-21有效| |29|wordpress|seo插件|权限提升,可以由订阅者提升为管理;此插件用户量极大 top10|5-21有效| |30|某网卡|getshell|直接嗅探到敏感信息getshell 早就发现了 现在才fuzz分析并exp|5-22有效 | |31|metinfo|5.3.x|组合漏洞,有可能最后getshell吧,主要是利用条件太苛刻了 不是很好用 基本上全默认就可以 |5-23有效| |32|EML管理系统|全版本通杀|SQL注入,如默认安装可注入写马,默认权限给的大 一般般|5-23有效| |33|spring boot|一个信息泄漏|一个信息泄漏 和没有差不多|6-1有效| |34|wordpress|插件rel link|xss |6-1有效| |35|phpmail|csrf 可改密码|csrf|6-1有效| |36|nordvpn|getshell|直接拿到shell 权限设置问题|6-1有效| |37|thinkphp|某版本|任意文件写入 getshell |6-1有效| |38|家用路由某某某|某固件|进入内网即可getshell 一个待提权的shell|6-1有效| |39|zoom|js跨域执行|效果几乎等同于RCE,但还有一些限制,exp部分有点难利用,目前poc和弹计算器成功|6-5有效| |40|kkcms|SQL注入|没啥用 就能后台 getshell找不到相应的点|6-8有效| ------------ |序号|类别项目|漏洞说明|备注| |---|-----|---|---| |1|2|4|5| |41|三星手机android9|三星android9以上某组件,远程代码执行但是限制条件太多了| 6-8有效| |42|WMcms任意代码执行|RCE|6-8有效| |43|CRM远程命令执行 sqli|一个执行 一个注入 啥都有了|6-8有效| |44|TXQPHP注入|傻逼注入二|6-8有效| |45|bbs一个什么什么公司的bbs 学校的江苏的| getshell 为了做武汉某高校站 黑盒出来的0day|6-8有效| |46|华为家用路由其实是荣耀路由3 2020.04 固件|信息泄漏,可获得admin登陆 聊天扯皮就完成了...|6-8有效| |47|emlog全版本getshell|getshell 文件操作加注入|6-8有效| |48|dz后台代码执行|一般来说 有用户组权限之后,就能getshell,其实也有条件。。|6-9有效| |49|LFcms任意文件读取漏洞|任意文件读取漏洞 没啥特别的 垃圾|6-9有效| |50|tp-link id ---csrf---xss|基本上也是打管理员那个套路|6-9有效,其实是四月份的漏洞 完成了| |51|typecho存储xss csrf|基本上管理员gg了|6-13有效| |52|thinkphpsqli|小版本 另一个点|6-13有效| |53|TIM|QQ tim 桌面版 某几个版本 xss 弹xss没问题,弹calc有点难度,还没理好|6-13有效| |54|padddle百度飞浆| paddlepaddle 文件操作,破坏模型,但需要一点的操作权限,不是任务|6-13有效| |55|D LINK|DLINK 8xx路由缓冲区溢出,敏感内容泄漏|6-15有效| |56|dlink又是|dlink的另一个固件的漏洞,可远程命令执行 <br> 搜索一圈,应该是个0day 这么简单的漏洞都没人发现么|6-16有效| |57|华为路由3| 内核漏洞 内存破坏 远程 可命令执行(但有限制还没突破)|6-21有效| |58|TPSHOP|SQLZHURU|6-23有效| |59|thinkphp 3.x|SQL注入 0day|6-23有效| |60|windows 某组件,ACL访问控制|可在域内提权 只能域控,或者手动安装|6-29有效| |61|android8.1|组件漏洞,可造成重启效果。|6-29有效| |62|网件路由,低版本|越权,admin登陆|6-29有效| |63|fastjson|68 原漏洞新绕过方式|6-29有效| |64|sophos|RCE 远程命令执行|6-29有效| |65|某某cms|bc的cms 的登入后 SQL注入|6-29有效| |66|google voice 新0day|带有voice功能的 均可xss|6-29有效| |67|国内某第三方企业邮服提供商|存储xss 登入后点击邮件触发,<br> web端 pc端均有,ios android 取cookie 有问题。|6-29有效| |68|通达OA|远程命令执行,另一个点0day|6-29有效| |69|weiphp|文件操作--getshell/还有一个存储xss|6-29有效| |70|联想商场那套cms|SQL注入 前台|6-29有效| |71|腾达路由|某版本固件 远程命令执行|6-29有效| |72|AA支付-cms|前台SQL注入|6-29有效| |73|freenas|未授权任意文件读取 rce等|6-29有效| |74|vBulletin|SQL注入|6-29有效| |75|es文件管理器|android ,注入漏洞效果一般|6-29有效| |76|phpmyadmin|XSRF 一般般|6-29有效| |77|Python Tendenci|反序列化 getshell|6-29有效| |78|MySQL 5.8|MySQL客户端任意文件读取|6-29有效| |79|基于UDP的私有协议xxx|逆向分析后找到了一个感觉可以未授权的点|6-29有效| |80|jizhi cms |SQL注入 getshell|7-1有效| ------ 计划中写了: 要放慢挖掘漏洞的速度,做点自己内心想要的东西; 尽管产出了许多漏洞,但一点成就感都没有; 你到底想要什么,败犬. from 7-1<a href="http://evilxyz.xyz/index.php/archives/39/">败犬的下半年计划</a> ------ |序号|漏洞说明|备注| |---|---|---| |81|ruoyi framework 反序列化+CSRF 相当于白嫖|7-4有效| |82|dlink某版本 远程命令执行|7-10有效| |83|dlink另一版本 内存破坏|7-10有效| |84|Cisco核心路由 文件读取+内存破坏(死机效果)|7-24| |85|.net 4.5.2 SharePoint 泄露|7-24| |86|华硕asus 路由远程命令执行 |8-1| |87|dlink 摄像头路由 getshell 直接获取到普通权限的shell 尚未提权|8-4| |87+|dlink 这个提不了权,sandbox有点过不去|8-7q| --------------- # 通知 9-02 根据8月28日,商务部和科技部联合公布《中华人民共和国技术进出口管理条例》和《中国禁止出口限制出口技术目录》, 本人再也不会更新此漏洞墙,也不会上H1 zdi bugcrowd提交漏洞了, 但我也不愿意在国内提交,也不愿违反国家相关规定,所以干脆就不再公开提交和出售任何漏洞. 专心致志生产工具或者做些自己喜欢的事情. 之前还有朋友问我国内有没有相对靠谱点的漏洞提交平台,犹豫了下,还是推荐下吧:(别说什么上不封顶了,国内国外都差不多) 360bugcloud <a href="https://bugcloud.360.cn/hello">https://bugcloud.360.cn/hello</a> 知道创宇 女娲计划<a href="https://nvwa.org/index_zh.php">https://nvwa.org/index_zh.php</a> 目标范围: 360: ### **收集到的一些通用软件的名称和网址,收藏挖洞** | 名称 | 网址 | | -------------------- | ------------------------------------------------- | | Chrome | https://www.google.cn/intl/zh-CN/chrome/ | | FireFox | http://www.firefox.com.cn/ | | Safari | None | | Ubuntu | https://ubuntu.com/download | | debain | https://www.debian.org/ | | centos | https://www.centos.org/ | | WordPress | https://wordpress.org/download/ | | phpBB | https://www.phpbb.com/ | | MyBB | https://github.com/mybb | | MediaWiki | https://www.mediawiki.org/ | | Tornado | http://www.tornadoweb.org/ | | Cacti | https://www.cacti.net/ | | SquirrelMail | https://squirrelmail.org/ | | RoundCube | https://roundcube.net/ | | Flask | https://github.com/pallets/flask | | Drupal | https://www.drupal.org/ | | vBulletin | https://www.vbulletin.com/ | | Jenkins | https://jenkins.io/ | | FCKEditor | https://ckeditor.com/ | | Joomla | https://www.joomla.org/ | | Webmin | http://www.webmin.com/ | | Spring Framework | https://projects.spring.io/spring-framework/ | | HttpFileServer | http://www.rejetto.com/hfs/ | | Yii | https://www.yiiframework.com/ | | Empire CMS | http://www.phome.net/ | | Solr | http://lucene.apache.org/solr/ | | Laravel | https://laravel.com/ | | Fastjson | https://github.com/alibaba/fastjson | | Magento | https://magento.com/ | | OpenCart | https://github.com/opencart/opencart | | XAMPP | https://www.apachefriends.org/zh_cn/index.html | | ActiveMQ | http://activemq.apache.org/ | | ZenTao PMS | http://www.zentao.net/ | | Hudson | http://jenkins-ci.org/ | | Redmine | https://www.redmine.org/ | | Kibana | https://www.elastic.co/products/kibana | | phpCMS | http://www.phpcms.cn/ | | Zimbra | https://www.zimbra.com/ | | Piwik | https://matomo.org | | DokuWiki | https://www.dokuwiki.org/dokuwiki | | PHPWind | https://www.phpwind.com/ | | BIGipServer | https://f5.com/products/big-ip | | ThinkSNS | http://thinksns.com/ | | Openfire | https://www.igniterealtime.org/projects/openfire/ | | Zabbix | https://www.zabbix.com/ | | Atlassian Confluence | https://www.atlassian.com/software/confluence | | Sentry | https://sentry.io/ | | Horde | https://www.horde.org/apps/horde/ | | CMSTOP | http://www.cmstop.com/ | | Destoon | https://www.destoon.com/ | | Django | https://www.djangoproject.com/ | | phpMyAdmin | https://www.phpmyadmin.net/ | | HiShop | http://www.hishop.com.cn/ | | PHP168 | http://www.php168.net/ | | Gogs | https://gogs.io/ | | B2Bbuilder | http://www.b2b-builder.com/ | | emlog | http://www.emlog.net/ | | Discuz! | http://www.discuz.net | | Z-Blog | https://www.zblogcn.com/ | | GitLab | https://gitlab.com | | WebX | http://www.openwebx.org/ | | Struts2 | https://struts.apache.org/ | | ElasticSearch | https://www.elastic.co/cn/ | | ThinkPHP | http://www.thinkphp.cn/ | | DedeCMS | http://www.dedecms.com | | Atlassian Jira | https://www.atlassian.com/software/jira | | 万户EZ | http://www.whir.net/cn/cpzx/index_2.html | | 亿邮 | http://www.eyou.net/ | | OA | | | F5(防火墙) | | | OpenAm | | **附:一些关键基础设施领域参考: 电力、银行、证券、保险、交通、铁路、民航、医疗、水利、智慧城市、社保、公积金、气象局、地震局、电信行业、教育、国土资源、能源、新闻广电、党政机关、政府** 创宇: 目标范围 包括但不限于以下范围,目标范围会定期更新 最新目标列表new 目标 版本 类型 要求 日期 有效期(d) 最高单价(人民币) NEC NEC Router RCE/DoS 零交互 2020-04-01 2020-12-31 300,000 Piolink Piolink Router RCE/DoS 零交互 2020-04-01 2020-12-31 300,000 ForcePoint FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Hillstone FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 400,000 Ahnlab FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 300,000 Cisco 1800/1900 Router RCE/DoS 零交互 2020-04-01 2020-12-31 500,000 Cisco ASR1000 Router RCE/DoS 零交互 2020-04-01 2020-12-31 700,000 Cisco Catalyst9000 Router RCE/DoS 零交互 2020-04-01 2020-12-31 550,000 Juniper QFX switches RCE/DoS 零交互 2020-04-01 2020-12-31 800,000 Juniper OCX switches RCE/DoS 零交互 2020-04-01 2020-12-31 800,000 Juniper T Router RCE/DoS 零交互 2020-04-01 2020-12-31 1000,000 Juniper PTX Router RCE/DoS 零交互 2020-04-01 2020-12-31 600,000 Juniper ACX Router RCE/DoS 零交互 2020-04-01 2020-12-31 500,000 富士通IPCOM FireWall RCE/DoS 零交互 2020-04-01 2020-12-31 300,000 Microsoft ForeFront TMG/ISA Network proxy RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 McAfee WebGateWay Network proxy RCE/DoS 零交互 2020-04-01 2020-12-31 500,000 Sonicwall VPN RCE/DoS 零交互 2020-04-01 2020-12-31 450,000 NSD DNS RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 PowerDNS DNS RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 UltraDNS DNS RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Postfix Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Zmailer Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Mdeamon Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Winmail Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 PowerMTA Mail service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Lotus Domino Web service RCE/DoS 零交互 2020-04-01 2020-12-31 350,000 Oracle Database RCE/DoS 零交互 2020-04-01 2020-12-31 500,000 Portable SDK for UPnP devices CIG Router RCE 零交互 2020-05-01 2020-12-31 350,000 长期目标 目标 版本 类型 要求 日期 有效期(d) 最高单价(人民币) Windows Windows7/8/10/2008/2012 RCE 零交互 2019-11-01 永久 10,000,000 Firefox Windows/MacOS RCE/LPE 零交互 2019-11-01 永久 800,000 Android Mainstream Android Mobile OS FCWP 零交互 2019-11-08 永久 20,000,000 iOS Mainstream Apple iOS FCWP 零交互 2019-11-08 永久 15,000,000 WhatsApp Android/iOS RCE/LPE 零交互 2019-11-08 永久 10,000,000 Telegram Android/iOS RCE/LPE 零交互 2019-11-08 永久 5,000,000 Chrome Windows/MacOS RCE/LPE 零交互 2019-11-08 永久 3,000,000 MS-Office Windows RCE 零交互 2019-11-08 永久 1,500,000 Other Office Windows RCE 零交互 2019-11-08 永久 500,000 Adobe-PDF Windows RCE 零交互 2019-11-08 永久 800,000 Cisco IOS RCE 零交互 2019-11-08 永久 5,000,000 juniper ScreenOS/... RCE 零交互 2019-11-08 永久 2,000,000 Fortigate-Firewall FortiOS RCE 零交互 2019-11-08 永久 800,000 Bluecoat-ProxySG - RCE 零交互 2019-11-08 永久 800,000 Defense Software Symantec/HP-arcsight/TrendMicro... RCE 零交互 2019-11-08 永久 500,000 VMware ESXi VMware ESXi VME 零交互 2019-11-08 永久 1,500,000 VMware Workstation VMware Workstation VME 零交互 2019-11-08 永久 600,000 Linux Mainstream Linux OS LPE 零交互 2019-11-08 永久 500,000 Solaris - LPE 零交互 2019-11-08 永久 500,000 Vnc Viewer Server Vnc Viewer Server RCE/DoS 零交互 2020-05-29 永久 500,000 Cisco webEX RCE 一次交互 2020-08-07 永久 500,000 ArcSight - RCE 零交互 2020-08-07 永久 350,000 Cpanel - RCE 零交互 2020-08-07 永久 350,000 H3C - RCE 零交互 2020-08-07 永久 500,000 FortiGate - RCE 零交互 2020-08-07 永久 350,000 Zabbix - RCE 零交互 2020-08-07 永久 500,000 Exchange - RCE 零交互 2020-08-07 永久 800,000 QEMU - VME 零交互 2020-08-07 永久 800,000 FreeBSD - LPE 零交互 2020-08-07 永久 500,000 ALL:RCE + LPE;RCE(Remote Code Execution):远程代码执行;LPE(Local Privilege Escalation):本地权限提升;SBX(Sandbox Escape Bypass):沙盒逃逸绕过;VME(Virtual Machine Escape):虚拟机逃逸;FCWP(Full Chain (Zero-Click) with Persistence):完整的利用链
1 评论