dedecms v5.7(build 20150618)的12个漏洞

最新推荐文章于 2023-12-11 13:42:20 发布
最新推荐文章于 2023-12-11 13:42:20 发布
阅读量1.4w 收藏 16
点赞数 2
分类专栏: dedecms 文章标签: 织梦 dedecms sql注入 漏洞

一打开阿里云后台,发现了12个加急处理的漏洞,还没来得及了解阿里云的漏洞检测原理,直接开始着手修复漏洞

searching on baidu... ...  : )

1.dedecms支付模块注入漏洞 

描述:

DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。

解决:找到 /include/payment/alipay.php 修改

$order_sn = trim($_GET['out_trade_no']);
修改为 
$order_sn = trim(addslashes($_GET['out_trade_no']));

----------------------------------------------------

2.dedecms SESSION变量覆盖导致sql注入

描述:

dedecms的/plus/advancedsearch.php中,直接从$_SESSION[$sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入。

解决:找到 /include/common.inc.php 修改

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
改为 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

----------------------------------------------------------

3.dedecms 上传漏洞

描述:

dedecms过滤逻辑不严导致上传漏洞。

解决:找到 /include/uploadsafe.inc.php 修改

第一处:

${$_key.'_size'} = @filesize($$_key);

改为

${$_key.’_size’} = @filesize($$_key); 
$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp"); 
if(in_array(strtolower(trim(${$_key.’_type’})), $imtypes)) { 
    $image_dd = @getimagesize($$_key); 
    if($image_dd == false){ 
        continue; 
    } 
    if (!is_array($image_dd)){ 
	exit('Upload filetype not allow !'); 
    } 
}

 第二处:在上面修改的后面还有一个$image_dd没有判断

 $image_dd = @getimagesize($$_key);

后面添加

if($image_dd == false){ 
    continue; 
}

解决:找到/include/dialog/select_soft_post.php 修改

在 fullfilename = $cfg_basedir.$activepath.'/'.$filename; 上面添加

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
    exit();
}

-----------------------------------------------------------

4. dedecms cookies 泄漏导致SQL漏洞

描述:

dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

解决:

第一处:打开 \member\inc\inc_archives_functions.php 找到

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";

修改为:

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields."anythingelse".$cfg_cookie_encode)."\" />";

第二处: 打开 \member\article_add.php 找到

if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))

修改为:

 if (empty($dede_fieldshash) || ($dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . '
anythingelse' . $cfg_cookie_encode)))

--------------------------------------------------

5.留言板注入漏洞

描述:

dedecms留言板注入漏洞。

解决:

找到 /plus/guestbook/edit.inc.php 

$msg = HtmlReplace($msg, -1);
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);
exit();

改为

$msg = addcslashes(HtmlReplace($msg, -1));
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);
exit();

-----------------------------------------------------

6.dedecms后台文件任意上传漏洞

描述:

dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。

解决:

找到 /dede/media_add.php

$fullfilename = $cfg_basedir.$filename;

修改为

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { 
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
    exit(); 
}
$fullfilename = $cfg_basedir.$filename;

----------------------------------------------------------------------

7. dedecms 模版SQL注入漏洞

描述:

dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。

解决:

找到 /member/soft_add.php

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";

改为

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { 
    $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n"; 
}

------------------------------------------------------------------------

8.dedecms v5.7注册用户任意文件删除漏洞

描述:

dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除

解决:

找到 /member/inc/archives_check_edit.php

$litpic =$oldlitpic;

修改为:

$litpic =$oldlitpic;
if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

-----------------------------------------------------------

9.dedecms 会员中心注入漏洞

描述:

dedecms会员中心注入漏洞。

解决:

找到 /member/pm.php 

$row = $dsql->GetOne("SELECT * FROM `#@__member_pms` WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')");

改为

$id = intval($id);
$row = $dsql->GetOne("SELECT * FROM `#@__member_pms` WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')");

----------------------------------------------------------

10. Sql注入

描述:

dedecms的/dedecms/member/album_add.php文件中,对输入参数mtypesid未进行int整型转义,导致SQL注入的发生。

解决:

找到 /member/album_add.php 

$description = HtmlReplace($description, -1);
 //保存到主表
  $inQuery = "INSERT INTO `#@__archives`(id,typeid,sortrank,flag,ismake,channel,arcrank,click,money,title,shorttitle,
color,writer,source,litpic,pubdate,senddate,mid,description,keywords,mtype)
VALUES ('$arcID','$typeid','$sortrank','$flag','$ismake','$channelid','$arcrank','0','$money','$title','$shorttitle',
'$color','$writer','$source','$litpic','$pubdate','$senddate','$mid','$description','$keywords','$mtypesid'); ";


改为:

$description = addcslashes(HtmlReplace($description, -1));
$mtypesid = intval($mtypesid);
    //保存到主表
$inQuery = "INSERT INTO `#@__archives`(id,typeid,sortrank,flag,ismake,channel,arcrank,click,money,title,shorttitle,
color,writer,source,litpic,pubdate,senddate,mid,description,keywords,mtype)
VALUES ('$arcID','$typeid','$sortrank','$flag','$ismake','$channelid','$arcrank','0','$money','$title','$shorttitle',
'$color','$writer','$source','$litpic','$pubdate','$senddate','$mid','$description','$keywords','$mtypesid'); ";

----------------------------------------------------------

11. Sql注入

位置:/member/mtypes.php

$query = "UPDATE `#@__mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

改为:

$id = intval($id);
$query = "UPDATE `#@__mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

---------------------------------------------------

searching end

以上内容均来自网络,如有侵权请联系我

ccfxue
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DedeCMS_v5.7漏洞复现
qq_51459600的博客
04-06 1万+
DedeCMS_v5.7漏洞复现 环境搭建: 服务器:WinServer2008(10.10.10.143) + phpstudy2018 DedeCMS版本:DedeCMS-V5.7-UTF8-SP2 下载地址:https://pan.baidu.com/s/1GQjWSDe7IlMVsVJ7HvrBOw 提取码: i4wk 0x01 URL重定向 版本<=5.7sp2 漏洞复现 payload: http://10.10.10.143/Dedecms/plus/download.php?open
Dedecms5.7漏洞利用
qq_48732306的博客
11-07 1230
Dedecms5.7渗透测试 Dedecms5.7由于编程的问题,有一个可以直接篡改用户密码的漏洞,一下是复现过程: 一:启动环境: 首先要进行dedecms的安装,其下载地址为:] DeDeCMS 官网 http://www.dedecms.com/ [2]。 不过要安装dedecms还要搭建好服务器,而我选择的是使用warmpserve来搭建的,这个软件包含了apache2,php与mysql数据库,安装了就可以一键运行服务器。 Dedecms的安装包含了两个文件,把uploads那个文件放在warms
织梦dedecms漏洞修复大全(5.7起)
weixin_30472035的博客
12-30 790
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复。修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,...
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3803
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
dedecms5.7 sp2前台修改任意用户密码漏洞复现
weixin_46801402的博客
07-29 901
DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 dedecms5.7 sp2允许用户修改任意前台用户的密码,不能对管理员账户造成影响,毕竟管理员账户与前台用户的数据表时分开存放的。而且,前台也不能直接登录管理员账户...
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 1978
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
php东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
11-19
【标题】"php东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip" 提供的是一个基于PHP语言开发的网站模板,适用于品牌设计展示。DEDECMS织梦内容管理系统)是一个广泛使用的开源CMS系统,它允许用户通过简单的操作构建和...
Dedecms_20150618_member_sqli (2).py
10-05
dedecms5.7sp1后台(要能够注册member的vip账户后台才可以)存在sql延时注入exp,用火狐得到账户登录的cookie替换,然后Python2.7跑脚本,from乌云雨神 http://www.hekaiyu.cn/hacker/3060.html
易采站长源码DEDECMS蓝色模板 v5.7.zip
11-22
【标题】"易采站长源码DEDECMS蓝色模板 v5.7.zip"指的是一个基于DEDECMS织梦内容管理系统)的网站模板,版本号为5.7,设计风格为蓝色调。DEDECMS是一款广泛应用的开源PHP网站管理框架,尤其在个人站长和中小企业中...
基于PHP的东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
07-25
"v5.7"表示这是DEDECMS的一个特定版本,通常每个版本会包含一些功能改进、错误修复和安全性更新。 【标签】"PHP"表明这个项目是使用PHP语言开发的。PHP是一种广泛使用的服务器端脚本语言,尤其适合于Web开发,可以...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
DedeCMS_v5.7其他漏洞复现
wutiangui的博客
09-12 490
其中aHR0cDovL3d3dy5iYWlkdS5jb20=是http://www.baidu.com的base64编码。管理员在添加用户购买商品的配送方式时,可能会触发存储型xss。进入后台—>会员—>配货方式设置—>增加一个配货方式。二、后台shops_delivery_存储型XSS。后台modifytmp.inc被写入了新内容。三、sys_verifies后台文件写入。用户在购买商品时会自动弹出配送方式列表。版本:5.7sp1、5.7sp2。访问后发现直接转到百度。
DedeCMS V5.7 SP1远程任意文件写入漏洞(CVE-2015-4553)
末初的CSDN博客
05-18 2383
文章目录漏洞原因漏洞影响版本漏洞原理分析漏洞复现 漏洞原因 uploads/install/index.php中对于全局传参遍历的处理不当造成可进行变量覆盖,进而导致远程文件上传Getshell 漏洞影响版本 <= Dedecms V5.7 SP1的所有版本 漏洞原理分析 uploads/install/index.php 对于全局传参遍历中的可变变量的写法${$_k}导致变量覆盖,RunMagicQuotes()每个参数的值进行了特殊字符转义处理 继续分析 uploads/install/i
织梦CMS_V5.7任意用户密码重置漏洞复现
wutiangui的博客
09-12 831
漏洞位于member/resetpassword.php文件中,因未对传入的参数safeanswer进行严格类型检查,导致可使用弱类型比较绕过。在代码分析中,当 d o p o s t 等于 s a f e q u e s t i o n 时,通过传入的 dopost等于safequestion时,通过传入的 dopost等于safequestion时,通过传入的mid查询用户信息,判断安全问题和答案是否匹配。输入新密码,比如admin,然后登录试下,发现登录成功,数据库里查到的也是admin。
漏洞分析】DeDeCMS v5.7 SP2 正式版前台任意用户密码修改漏洞
qq_44655084的博客
12-11 2257
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改漏洞的细节。
dedecms 5.7 任意前台用户修改漏洞
浅笑996的博客
12-10 1346
一、 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二、代码审计 1.双击启动桌面Seay源代码审计系统软件 2.点击新建项目按钮,弹出对画框中选择(C:\phpStudy\WWW\ dedecms v57),点击确定 漏洞分析 1.进入member/resetpassword.php页面,将鼠标滚动到页面第75行 else if($dopost =...
dedecms任意文件上传漏洞(select_soft_post.php)
L_melody的博客
08-14 3883
文件:select_soft_post.php 路径:/include/dialog/select_soft_post.php 原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤 解决方法: 1、在 select_soft_post.php 中找到如下代码: $fullfilename = $cfg_basedir.$activepath.'...
dedecms友情链接plus/flink.php页面出错,DedeCMS友情链接flink_add Getshell漏洞管理员CSRF漏洞...
weixin_32581787的博客
03-21 539
DedeCMS友情链接漏洞,DedeCMS漏洞,1、漏洞利用由于tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。又由于应用没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,从而造成了CSRF漏洞。因此可以诱导管理员以管理员的权限写入代码即可。测试版本:DedeCMS-V5.7-UTF8-SP1-Full 201506...
Dedecms 最新版漏洞收集并复现学习
墨痕诉清风的博客
09-30 5443
在用户密码重置功能处,php存在弱类型比较,导致如果用户没有设置密保问题的情况下可以绕过验证密保问题,直接修改密码(管理员账户默认不设置密保问题)。这么一次过滤,直接粗暴的将一些特殊字符替换为空,那么我们就可以通过特殊字符绕过上面的全局文件名不能包含php字符的限制,比如文件名为。这样,由于index.php中我们可以控制返回一个输入值和这个输入值经过服务器处理后的md5值。我们可以看到当uid存在值时就会进入我们现在的代码中,当cookie中的last_vid中不存在值为空时,就会将uid值赋予过去,
b051银行客户管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
最新发布
07-23
系统根据B/S,即所谓的电脑浏览器/网络服务器方式,运用Java技术性,挑选MySQL作为后台系统。系统主要包含对客服聊天管理、字典表管理、公告信息管理、金融工具管理、金融工具收藏管理、金融工具银行卡管理、借款管理、理财产品管理、理财产品收藏管理、理财产品银行卡管理、理财银行卡信息管理、银行卡管理、存款管理、银行卡记录管理、取款管理、转账管理、用户管理、员工管理等功能模块。 文中重点介绍了银行管理的专业技术发展背景和发展状况,随后遵照软件传统式研发流程,最先挑选适用思维和语言软件开发平台,依据需求分析报告模块和设计数据库结构,再根据系统功能模块的设计制作系统功能模块图、流程表和E-R图。随后设计架构以及编写代码,并实现系统能模块。最终基本完成系统检测和功能测试。结果显示,该系统能够实现所需要的作用,工作状态没有明显缺陷。 系统登录功能是程序必不可少的功能,在登录页面必填的数据有两项,一项就是账号,另一项数据就是密码,当管理员正确填写并提交这二者数据之后,管理员就可以进入系统后台功能操作区。进入银行卡列表,管理员可以进行查看列表、模糊搜索以及相关维护等操作。用户进入系统可以查看公告和模糊搜索公告信息、也可以进行公告维护操作。理财产品管理页面,管理员可以进行查看列表、模糊搜索以及相关维护等操作。产品类型管理页面,此页面提供给管理员的功能有:新增产品类型,修改产品类型,删除产品类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值