找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2053|回复: 0
打印 上一主题 下一主题

织梦(Dedecms)V5.X 本地文件包含漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-4 17:36:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞版本:, d) B, t1 M2 f) ~" U  V2 T7 r
DedeCms 5.x漏洞描述:% l- f/ P  m6 X% }2 B
DedeCms是免费的PHP网站内容管理系统。: p4 z! E3 v' N; L/ J3 w% E9 `) z

# }8 m5 d! r: n1 ^plus/carbuyaction.php里没有对变量进行严格的过滤$ _4 G* |; E3 B6 D" z& O

' Z( x" m7 i" g9 K/ g7 c出现漏洞的两个文件为:$ I5 k2 A: @: ^9 z& _2 g  H
Include/payment/alipay.php6 H# F$ `5 }( {7 {
Include/payment/yeepay.php
! u( k/ i+ P& r漏洞均出现在respond方法里
; P# M( F4 a% j/ V% N( A6 j& Z3 g  n2 M3 K1 y3 @( A
Include/payment/alipay.php
9 y4 C+ y& i& p7 J3 H. d......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......4 o4 e# A5 L" ?3 i+ F& Y
                       
. F# c, h1 `- e3 _4 i) |大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。
- E; B9 [; b1 R4 P% A2 N: F. _Include/payment/yeepay.php0 \  _" U! B. P9 `1 ~% _; }! O
......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......
* r# Q* H. p4 m( W8 L! @, t4 G+ _                        * E3 z. o! c9 G" {  e) d* h; M
大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考. W) m7 z5 g1 K' B
http://bugscan.net/manage/node/832 l$ }0 k5 P) v: K  X8 T& K& M
http://www.cnseay.com/2515/
' ~3 }+ Q& u& n8 e9 C1 X*>
, V2 }5 h5 ~- M" @) J测试方法:( D  `6 X; g; f. [
1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
4 ~( e3 P) L! Y9 s) H9 t9 d  Y$ e2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径3 w" c  d2 \+ S. X7 R1 i
修复方法:
8 c& k/ h4 X: s3 Z; O1 P目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:# A% ^, l5 t! Z) W0 q$ t
http://www.dedecms.com/products/dedecms/2 O5 O- P; i9 b/ m( _" }6 i

9 I( W& j  F% p6 T7 h6 _- p 临时修复:
/ `4 t) X4 X' Z5 T& N% \1)Include/payment/alipay.php
, p9 _; m; Z& s1 `+ n$ i  大概133行左右
! H6 f  Q. r/ P) @% P  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
" T; |5 T1 R! |, V替换
7 L, r" \7 z! \2 l1 `2 h2 K require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';  m8 @0 z. [' d' x- J0 V' t# c6 P% G
2) Include/payment/yeepay.php0 _9 t) N! |7 V  H+ [( B: ~" w! l5 m8 j
大概在145行左右
& p6 d9 B" }% ~7 v1 N+ Y% P, X require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';; G2 }/ c1 v  W5 }1 Z$ n
替换9 k/ _5 f6 o" F; j
require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';
9 F/ o" e, }+ B. \ ( E2 {( @/ {  ~: v
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表