中国网络渗透测试联盟

标题: 织梦(Dedecms)V5.X 本地文件包含漏洞 [打印本页]
作者: admin    时间: 2013-4-4 17:36
标题: 织梦(Dedecms)V5.X 本地文件包含漏洞
漏洞版本:3 x& R+ e' N9 Z& q4 F  f  G
DedeCms 5.x漏洞描述:: G9 o3 ]9 W6 F6 u& R# R( D: F3 _: i
DedeCms是免费的PHP网站内容管理系统。
+ i- a5 G& `5 {4 U  U$ k; P5 q8 t7 S: Y; J
plus/carbuyaction.php里没有对变量进行严格的过滤; w3 }0 R3 |4 Z! `, z: y

$ g! h5 s3 {  S! {- D/ k0 d5 s出现漏洞的两个文件为:  d, P; Y+ {: d9 T8 y
Include/payment/alipay.php
. g8 {" w. f+ W- A- K% XInclude/payment/yeepay.php1 n2 v5 Z  g' i7 X7 n; a7 H
漏洞均出现在respond方法里# \8 G) \4 H6 e

' z+ S. D. }; f; rInclude/payment/alipay.php
7 n% R+ {$ w$ D4 C3 Y( a......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......4 @8 a- G5 |# l
                       
; V+ S- U% t# b* n) E* }) J% a- b# g大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。0 T0 Z; i$ n& D0 e, h
Include/payment/yeepay.php
. s. Z2 ^) c6 p% W3 Z4 m7 d......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......
# B' @) i. `6 |/ q5 `: l! C                       
. a8 J1 k0 ^% m大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考9 z: Z8 b# P- X4 S& z6 v: W  {
http://bugscan.net/manage/node/83
6 I# z/ [/ x5 Rhttp://www.cnseay.com/2515/2 B- ~/ R7 ~9 g$ j+ G
*>
. D1 Y: S0 Q" \' v- ^测试方法:
4 [. N( X; i3 [8 `' W. L1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie / L& b3 ]& l) B( e3 b
2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径
. G5 r) `6 A9 d4 {7 N; s5 ?3 J5 B7 b' }修复方法:
) ^1 f% d! l# s  Z目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:  ]: b0 ~- r! k) V4 A9 R3 E4 {
http://www.dedecms.com/products/dedecms/: B  [* U8 b1 I, h

' t; T$ _( I' N8 y# K' P) B: p 临时修复: " h( j; @: S7 E) N1 I% ^
1)Include/payment/alipay.php
& C3 ]6 ?4 G, C# q! Q. l  大概133行左右
. Y3 L) K0 ]0 A7 _. h7 [  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';& e$ k' E; t& L; h, R
替换8 E% y! N9 z. J- W) h
require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';, g4 R7 r& ?7 w, O+ @+ {
2) Include/payment/yeepay.php
! j) O5 L0 t6 r' n大概在145行左右# t& Z' H+ d( v% m; c! M1 ^
require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
$ f2 a& B7 _  k; W3 c9 E 替换! u# x) f" h: E- \) M5 t) F* a
require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';
. C. f& F/ C6 y  l ! v1 t: h7 m% ]2 g  V




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2