找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2055|回复: 0
打印 上一主题 下一主题

织梦(Dedecms)V5.X 本地文件包含漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-4 17:36:50 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
漏洞版本:2 ^1 y% n1 X2 R+ ~: _
DedeCms 5.x漏洞描述:' m* X6 q9 E- K5 x# N
DedeCms是免费的PHP网站内容管理系统。
% w2 R2 `0 l2 g% O- q) R: q3 `9 e
; {2 z* x4 g# m8 [: @& t* Fplus/carbuyaction.php里没有对变量进行严格的过滤# B! y$ S) N' ?  v, W# t6 K
, ?: [* J* e, g1 J. U+ C2 e/ v
出现漏洞的两个文件为:& {( w8 O, }! V) x* D9 y9 r+ F
Include/payment/alipay.php4 Q+ r, J) W) ?$ I
Include/payment/yeepay.php
' s  a8 L  c8 K7 x! ^( G漏洞均出现在respond方法里0 ?# W" z$ @+ `# s
7 W' R8 ^( g- P- g1 u! z# _
Include/payment/alipay.php / L, a0 a" C$ w  k9 M" d, |
......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......2 M) c9 |) k; w5 p! f1 }8 X
                        % q8 C' i6 O8 x7 p
大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。
" q1 |  p" C' a6 W2 G8 T: {7 qInclude/payment/yeepay.php
/ M( P) ^4 @- _( }3 O......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......" V% r& `9 T* \' F
                       
& D5 u1 I" K' y8 @. G大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考
) C" ?$ n4 u  z* N$ Yhttp://bugscan.net/manage/node/839 h. T! w' a: s' l" Y
http://www.cnseay.com/2515/
$ |  D$ s; u$ d9 E$ C- \% O*>
& ]8 ]3 r1 j% I( t3 v( i! g/ r测试方法:
# u/ o! n" n3 ^) N" r9 f! E; B" q1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
6 P4 b5 u/ r+ u9 b2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径. r; I0 ]# \. s( ?
修复方法:
+ t7 m1 D" s5 c- U% F2 N* @' A目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:% U4 \! i* T" T" D2 `3 J/ D8 \
http://www.dedecms.com/products/dedecms/+ d7 t. \, _3 q/ w- ]: B& T( W3 d

9 R' a; X& |( H8 H, p8 V: K4 G 临时修复:
8 H' f1 ]$ x! |8 d/ @1)Include/payment/alipay.php
( ]' t4 n- r. W; G' @7 L# N  大概133行左右' f( T& F4 N" \9 y! V; E. c3 T: k
  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';; D  }6 o% F' K0 L1 \4 ^( [/ j
替换
! X( A9 u  T3 A# L: C# w- q require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';
3 S/ N8 y7 N0 d- r/ \0 i) v2) Include/payment/yeepay.php7 l5 E) l4 }9 u6 r; }4 Y$ K
大概在145行左右
1 h6 n% Q' T$ A2 H+ l$ X require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';7 B- w& g) O3 P, N+ d& U& M
替换/ D$ X. M3 ^2 S0 p+ Y2 W
require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';$ d# _4 S2 i5 D8 M. G$ T
7 O& m2 O, b( R5 |0 f6 N
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表