dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)
% y" e# @) D2 L6 m
! Y2 o' l. Z# V. Z+ V0 d" d出现漏洞的两个文件为：
Include/payment/alipay.php
Include/payment/yeepay.php
漏洞均出现在respond方法里，估计这两个文件是临时工写的。
8 I" {/ B$ c: q/ u* Y
5 G* R9 q; [- s% D. C' b! `Include/payment/alipay.php

......
4 Z4 S0 Y- i" O! P   function respond()
    {
; n0 r- z9 y' G8 r2 ?0 d        if (!empty($_POST))
7 F! c+ E. c' w0 c& U  b: y        {
            foreach($_POST as $key => $data)
; e7 e3 `& T% i) }, B" c4 x1 `+ O            {
- A3 n& r. v' v* Z4 W. k/ _# h                $_GET[$key] = $data;
            }
1 `; m% e3 A! |( b. Z        }
$ V& B1 h5 z+ q        /* 引入配置文件 */
6 {. E7 E: a; X2 W) p; M        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
......
) {- [6 L/ n9 d# T% ]" g
+ L' }* ^# Y9 p8 v5 Q( {* N
* H; ]4 z7 Q0 Z大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
" V+ l0 M* |7 ?" G
Include/payment/yeepay.php
4 P  y  w, n9 {  `) B) ~0 T
* o$ J- K! [6 f  ~+ ]

......
    function respond()
    {

        /* 引入配置文件 */
, h5 A" `6 G. d' [$ V1 {( |$ s        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';

        $p1_MerId = trim($payment['yp_account']);
        $merchantKey = trim($payment['yp_key']);
/ o) V4 m+ W4 ^9 F......

0 g/ v9 p! D6 e8 N  a7 F

* i: }( H* x. n% V/ D
+ J: c3 d* b/ U: d2 S大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。

这两个方法在plus/carbuyaction.php文件调用。
# k) ~: _6 _$ s/ R9 }
plus/carbuyaction.php

. ~/ @! X: r: r4 X......
} else if ($dopost == 'return') {
* d6 o" c* d# \4 F3 G8 k9 z    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
- \  v8 b- |/ x    if (in_array($code, $write_list))
    {
        require_once DEDEINC.'/payment/'.$code.'.php';
' t* z. R6 L9 x0 m) `' I. ~: O        $pay = new $code;
+ J: h8 z1 Z( y) Y& U7 x        $msg=$pay->respond();
- Z( Z1 |) R/ P0 V. i        ShowMsg($msg, "javascript:;", 0, 3000);
* w: O3 u. x% X# V8 I6 Y0 h        exit();  
    } else {
        exit('Error:File Type Can\'t Recognized!');
( `. Q" I% f" k; k8 S    }
' f1 Y3 |1 w0 a/ E0 L" |$ Q}
) E3 q0 b+ F4 q. U......
2 N3 B# `' q3 n  d4 V( ^+ P
7 h( l2 f- A6 W. \$ d5 P! t- ^

; `) T9 C  R1 f) k$ U' y


4 o5 B; D/ _+ X) I: k0 z大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。
/ e+ ]7 d7 h% n8 U3 P* r  R
回到include/common.inc.php来看看他的机制。

! ~! q) q! ~5 o- t
6 `+ ?6 x" X5 ?: e$ y  ^, T6 I- M
; R7 {7 V$ Y0 O" R......
foreach(Array('_GET','_POST','_COOKIE') as $_request)
# `7 i2 _' C9 o- G! a: o{
" f+ e9 ]8 u' e: O3 B/ ^: U        foreach($$_request as $_k => $_v)
7 h3 S* {2 e8 P! C7 h9 J6 m) A        {
                if($_k == 'nvarname') ${$_k} = $_v;
                else ${$_k} = _RunMagicQuotes($_v);
1 j5 p$ C! }1 g0 A        }
; [8 b: ?8 P% @}
" w/ t" ?2 p* b3 T$ z......
大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
/ I5 U% T; G5 q+ H" w5 l5 V- _7 a由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。