dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)

出现漏洞的两个文件为：
Include/payment/alipay.php
Include/payment/yeepay.php
2 X4 h3 F- J5 C- }! g$ i漏洞均出现在respond方法里，估计这两个文件是临时工写的。

Include/payment/alipay.php
  m1 p. ^' e$ `8 M! I+ p6 `
......
   function respond()
' k2 |5 t7 e/ B, l    {
8 u4 i+ f: S, |- ?        if (!empty($_POST))
        {
+ G4 \. [. c, C5 f. c            foreach($_POST as $key => $data)
            {
  |8 ~8 W: g( _& s: e0 c$ _  e                $_GET[$key] = $data;
5 z7 D' L; R" T9 F5 v6 P            }
        }
        /* 引入配置文件 */
        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
......


* r( g- D/ R5 v: `1 W大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。

4 J9 _/ F$ r) v  v% f4 mInclude/payment/yeepay.php



' Q- q) i. ~% |0 X2 C, P3 \......
    function respond()
5 C6 X9 F2 v3 D+ |0 W    {

1 v1 d4 N' C$ \( ^. ~% S; @1 P        /* 引入配置文件 */
        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';

2 o% C2 v" ~) A( W        $p1_MerId = trim($payment['yp_account']);
        $merchantKey = trim($payment['yp_key']);
7 ?' r0 m5 J( s+ F......
' r: x' W6 Q0 |/ u8 o& E



5 i, \: }1 V; I4 y" E+ J大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。

* h& G  V8 E: G: r. Y- Z+ h' V3 \5 S这两个方法在plus/carbuyaction.php文件调用。

$ M% X) b8 a+ Y  |6 t/ ^) Q8 pplus/carbuyaction.php
6 b/ m& ]; L8 B+ r
......
} else if ($dopost == 'return') {
    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
4 ^* ~2 I) d8 C" O) j    if (in_array($code, $write_list))
    {
# X2 p) y! {3 d* v        require_once DEDEINC.'/payment/'.$code.'.php';
        $pay = new $code;
& p1 ^7 J8 w2 U2 c* r% f        $msg=$pay->respond();
        ShowMsg($msg, "javascript:;", 0, 3000);
        exit();  
* y6 q$ P& o3 x/ l& w; W% r# A5 D9 s    } else {
        exit('Error:File Type Can\'t Recognized!');
  J$ N$ V3 c" ]+ R2 @, X: L( [    }
/ b' i, N$ x+ D! F% b; U}
1 a3 P: j6 R; M# D% D( m......
( w8 i+ A, y3 V$ Q0 X. M
9 H0 [% Z8 {% k2 T: N9 ?9 i1 Z0 L- z


  P/ e: j! m7 I' e
3 s5 l/ X; V4 W2 L
* @4 E9 {) k4 T3 G4 A% k大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。

回到include/common.inc.php来看看他的机制。
$ I) ^) Y' b# C' Q: _0 @( g
  ^+ b+ k. B7 w
% o# P+ b: ~" T5 b; ^: T! T
......
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
9 `6 @7 q: o1 s6 u0 J! Z        foreach($$_request as $_k => $_v)
        {
% K0 I; y8 ]! {8 B5 l0 n$ e                if($_k == 'nvarname') ${$_k} = $_v;
; H9 [" ?3 G" W9 P$ w& |                else ${$_k} = _RunMagicQuotes($_v);
4 F5 S2 E" c) Q# Q        }
}
......
4 j/ @; ?7 |0 P- Z- H- ~  H( n2 I0 X大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。