找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2448|回复: 0
打印 上一主题 下一主题

织梦(Dedecms)V5.X 本地文件包含漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-4 17:36:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞版本:
7 O! H- m5 Y$ j0 o  ?7 cDedeCms 5.x漏洞描述:
* h8 Q3 a6 X( ]6 ADedeCms是免费的PHP网站内容管理系统。
/ v" t- C* \/ J2 Y6 p' w
4 d1 f# n# \8 \2 v' [plus/carbuyaction.php里没有对变量进行严格的过滤5 B* ^6 ~6 H3 ]9 G2 O

6 V. T& B# j" a5 R出现漏洞的两个文件为:9 X: h) b; N, ~' Y
Include/payment/alipay.php
/ e5 Q% `" t2 q9 T' KInclude/payment/yeepay.php
' {6 J4 m# l' d; e1 A1 }漏洞均出现在respond方法里1 J0 V9 m6 h0 C4 ~  ?8 H

/ v8 Z' D' f) U7 o. ]9 j; b; kInclude/payment/alipay.php ! }4 k1 N+ g& ], H2 r" k* v8 @
......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......; _) x5 T6 Q0 f$ y% C& m6 p! y  i
                       
( R, P$ s; a! h" Y* s1 t  `+ s大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。/ r' E; j7 `- I3 e
Include/payment/yeepay.php$ E! k# i  F+ g# ]
......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......: |! l, R& [; w. @" a  D5 w
                       
+ ^0 i6 k; }  k5 @# ?$ v大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考5 m; g* r8 G( `3 `, y# O. t
http://bugscan.net/manage/node/83* r% [! w7 c, f; |5 ]  x( l$ _
http://www.cnseay.com/2515/9 G% v$ R* ]* Y1 L
*>
/ t  A* }9 b" `) \7 s测试方法:, M& v2 d" \4 r6 T/ a, b1 p
1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
1 U. @7 [; E7 _  X7 o2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径
4 g# Z5 h& W* r$ M9 z* {9 Q& j+ {修复方法:4 V3 S$ a" y4 y" e
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
# E) d& _* V, S, [3 uhttp://www.dedecms.com/products/dedecms/
3 z( t7 l1 J/ R+ J, ?) k
0 [) i" h) v5 K0 u, ~! g. n 临时修复: , y: A* b; k  ]5 s$ I
1)Include/payment/alipay.php
, S3 r' f% S6 \7 t, b- s' |$ c  大概133行左右7 |* W" a, H3 `& P& q
  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
! u* [) o0 X" F" w3 e# a) S+ Q替换5 A' A8 C* m  R5 t& D* M
require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';  @+ r7 d4 W4 m- f9 J0 A3 P
2) Include/payment/yeepay.php
, Q0 n) \; k& i; F; @: e大概在145行左右
$ h* E) z- J; t" t require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
) |: D  o( @4 {( h& O, H# y/ | 替换
( d6 v7 a9 N- ~: X require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';' d+ p4 ?2 r, V- X4 H9 d7 E' I; J/ j

+ c" c) k3 T- J: b. c. [3 f
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表