dedecms /member/uploads_edit.php SQL Injection Vul

最新推荐文章于 2024-07-26 17:57:56 发布
最新推荐文章于 2024-07-26 17:57:56 发布
阅读量375 收藏
点赞数
文章标签: php

catalog

1. 漏洞描述
2. 漏洞触发条件
3. 漏洞影响范围
4. 漏洞代码分析
5. 防御方法
6. 攻防思考

 

1. 漏洞描述

Dedecms 5.3版本下的member/uploads_edit.php中的未限制文件上传漏洞允许远程攻击者通过上传一个有两个扩展的文件名的文件,然后借助未知向量访问该文件而执行任意代码。这已经通过带.jpg.php的文件名所证实

Relevant Link:

http://cve.scap.org.cn/CVE-2009-2270.html
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2009070008


2. 漏洞触发条件

0x1: POC

<form id="frmUpload" enctype="multipart/form-data" action="http://127.0.0.1/dedecms5.5/member/uploads_edit.php?dopost=save&title=ss&oldurl=1'.php" method="post">
<!-- oldurl是注入点 -->
    <input type="file" name="addonfile" id="addonfile" size="50"><br>
    <input name="mode" type="hidden" value="2">
    <input id="btnUpload" type="submit" value="Upload">
</form>

Relevant Link:

http://www.wooyun.org/bug.php?action=view&id=48894
http://www.2cto.com/Article/201012/80026.html


3. 漏洞影响范围
4. 漏洞代码分析

/member/uploads_edit.php

else if($dopost=='save')
{
    $title = HtmlReplace($title,2);
    if($mediatype==1) $utype = 'image';
    else if($mediatype==2)
    {
        $utype = 'flash';
    }
    else if($mediatype==3)
    {
        $utype = 'media';
    }
    else
    {
        $utype = 'addon';
    }
    $title = HtmlReplace($title,2);
    //获取"."前面的文件名
    $exname = ereg_replace("(.*)/","",$oldurl);
    //获取"."之外的扩展名
    $exname = ereg_replace("\.(.*)$","",$exname);
    //返回上传的文件名
    $filename = MemberUploads('addonfile',$oldurl,$cfg_ml->M_ID,$utype,$exname,-1,-1,true);
    //$filename带入函数查询
    SaveUploadInfo($title,$filename,$mediatype);
    ShowMsg("成功修改文件!","uploads_edit.php?aid=$aid");
}

\member\inc\inc_archives_functions.php

function SaveUploadInfo($title,$filename,$medaitype=1,$addinfos='')
{
    global $dsql,$cfg_ml,$cfg_basedir;
    if($filename=='')
    {
        return false;
    }
    if(!is_array($addinfos))
    {
        $addinfos[0] = $addinfos[1] = $addinfos[2] = 0;
    }
    if($medaitype==1)
    {
        $info = '';
        $addinfos = GetImageSize($cfg_basedir.$filename,$info);
    }
    $addinfos[2] = @filesize($cfg_basedir.$filename);
    $row = $dsql->GetOne("Select aid,title,url From `#@__uploads` where url like '$filename' And mid='".$cfg_ml->M_ID."'; ");
    $uptime = time();
    if(is_array($row))
    {
        $query = "Update `#@__uploads` set title='$title',mediatype='$medaitype',
                     width='{$addinfos[0]}',height='{$addinfos[1]}',filesize='{$addinfos[2]}',uptime='$uptime'
                     where aid='{$row['aid']}'; ";
        $dsql->ExecuteNoneQuery($query);
    }
    else
    {
        //$filename未进行过滤就带入SQL查询,造成SQL注入
        $inquery = "INSERT INTO `#@__uploads`(title,url,mediatype,width,height,playtime,filesize,uptime,mid)
           VALUES ('$title','$filename','$medaitype','".$addinfos[0]."','".$addinfos[1]."','0','".$addinfos[2]."','$uptime','".$cfg_ml->M_ID."'); ";
        $dsql->ExecuteNoneQuery($inquery);
    }
    return true;
}


5. 防御方法

/member/uploads_edit.php

else if($dopost=='save')
{
    $title = HtmlReplace($title,2);
    if($mediatype==1) $utype = 'image';
    else if($mediatype==2)
    {
        $utype = 'flash';
    }
    else if($mediatype==3)
    {
        $utype = 'media';
    }
    else
    {
        $utype = 'addon';
    }
    $title = HtmlReplace($title, 2);
    /* 对$oldurl进行有效过滤 */
    $oldurl = HtmlReplace($oldurl);
    /* */
    $exname = preg_replace("#(.*)/#", "", $oldurl);
    $exname = preg_replace("#\.(.*)$#", "", $exname);
    $filename = MemberUploads('addonfile', $oldurl, $cfg_ml->M_ID, $utype,$exname, -1, -1, TRUE);
    SaveUploadInfo($title, $filename, $mediatype);
    ShowMsg("成功修改文件!", "uploads_edit.php?aid=$aid");
}


6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

 

weixin_33910460
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FLiNGTrainer_setup.exe
10-07
FLiNGTrainer_setup.exe
iOS_14_Beta_Profile.mobileconfig
06-23
在6月23日的WWDC 2020全球开发者大会上,苹果正式发布了iOS 14系统,该资源为iOS 14 beta版描述文件。
DedeCMS V5.3.1 UTF-8版MemberUploads() 错误解决办法
weixin_33974433的博客
08-12 228
DedeCMS提示:Fatal error: Call to undefined function MemberUploads() in E:\AppServ\www\member\archives_sg_add.php解决办法如下:在文件/member/archives_sg_add.php中引用文件require_once()处添加 require_once(D...
织梦php版本图片不能上传,解决织梦dedecms游客投稿图片字段无法上传的问题
weixin_32199821的博客
03-26 323
SaveUploadInfo($title,$filename,1);这里使用的是织梦的MemberUploads函数,下面是这个函数的介绍:结合dedecms会员中心的头相上传功能。来谈谈dedecmsMemberUploads函数。首先我们看到include/helpers/upload.helper.php文件。function MemberUploads($upname,$handnam...
服务器安全-阿里自研补丁列表整理
日拱一卒无有尽,功不唐捐终入海
08-29 9266
当前服务器安全补丁管理功能可检测和修复的漏洞如下(若有新的补丁将更新在这里): 补丁编号 路径 漏洞名称 漏洞描述 补丁研发时间 159 /src/library/ubb/PwSimpleUbbCode.php phpwind ubb标签属性xss
PHP漏洞全解(九)-文件上传漏洞
weixin_33882452的博客
07-12 143
本文主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文件上传漏洞。 一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。 下面是一个简单的文件上传表单 &lt;form...
小程序运行报错:[渲染层网络层错误] Failed to load local image resource /src/static/uploads/pic_floor01_title.png
X_Flandre的博客
11-02 7129
错误案例: <view class="floor"> <!-- 标题 --> <view class="title"> <image src="/src/static/uploads/pic_floor01_title.png"></image> </view> </view> 正确案例: <view class="floor"&gt
运行报错:/usr/lib/x86_64-linux-gnu/libstdc++.so.6: version `GLIBCXX_3.4.26‘ not found
热门推荐
qq_39779233的博客
04-04 1万+
写在前面 自己的环境: Ubuntu 16.04 , ros-kinetic 一、报错描述 运行程序时报错: /usr/lib/x86_64-linux-gnu/libstdc++.so.6: version `GLIBCXX_3.4.26' not found 通过这个报错可以看出,报错提示缺少 GLIBCXX_3.4.26,也就是缺少 libstdc++.so.6.0.26 。 (报错提示缺少 GLIBCXX_3.4.22,也就是缺少 libstdc++.so.6.0.22 ) 通过以下指令可
微信退款 报错 SSL certificate not found: cert/apiclient_cert.pem
weixin_30667301的博客
05-04 6540
检查目录和证书的权限 转载于:https://www.cnblogs.com/JANCHAN/p/10808236.html
微信图片_20191224164028.jpg
12-25
自己亲手做的 中华美食网是一个针对中国餐饮业而开设的专业性的信息平台,在这个平台上丰富的餐饮信息交流、资源共享、政策普及、人才互动等积极有效的作用得到了最大的开发。网站的可读性、服务性、宣传性等功能和...
jsp_file_upload_component_to_achieve.rar_Jsp/Servlet_C++_Builder_
08-12
File uploadDir = new File("uploads"); File serverFile = new File(uploadDir, fileName); Files.copy(fileContent, serverFile.toPath(), StandardCopyOption.REPLACE_EXISTING); ``` 5. **错误处理**:确保...
key_gen_v1.2.bin
10-17
K210的机器码生成固件,来自https://en.bbs.sipeed.com/uploads/default/original/1X/bca0832bed92a1ada63bd05327688784e2ef14d1.zip
成员函数指针与高性能的C++委托(上篇)
linghushaonian的专栏
04-13 1530
Member Function Pointers and the Fastest Possible C++ Delegates撰文:Don Clugston Don Clugston 翻译:周翔引子标准C++中没有真正的面向对象的函数指针。这一点对C++来说是不幸的,因为面向对象的指针(也叫做“闭包(closure)”或“委托(delegate)”)在一些语言中已经证明了它宝贵的价值。在Delph
阿里云提示织梦后台文件media_add.php任意上传漏洞解决办法
kakashs
01-15 1270
漏洞描述: dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依...
PHP商城案例
最新发布
王世凡的技术博客
07-26 356
http://www.e9933.com/
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1099
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 374
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
PHP基础语法-Part2
weixin_51591328的博客
07-25 388
与其他语言相同。
sql脚本如下:use kdd99; create table kdd99_accounts ( account_id integer, district_id integer, frequency varchar(20), date DATE ); load data infile 'C:/ProgramData/MySQL/MySQL Server 8.0/Uploads/kdd99_accounts.csv' into table kdd99_accounts CHARACTER SET gb2312 fields terminated by ',' optionally enclosed by '"' escaped by '"' lines terminated by '\r\n'; create table Kdd99_card( card_id integer, disp_id integer, issued DATE, type varchar(10) ); load data infile 'C:/ProgramData/MySQL/MySQL Server 8.0/Uploads/Kdd99_card.csv' into table Kdd99_card CHARACTER SET gb2312 fields terminated by ',' optionally enclosed by '"' escaped by '"' lines terminated by '\r\n'; create table Kdd99_disp( disp_id integer, client_id integer, account_id integer, type varchar(6) ); load data infile 'C:/ProgramData/MySQL/MySQL Server 8.0/Uploads/Kdd99_disp.csv' into table Kdd99_disp CHARACTER SET gb2312 fields terminated by ',' optionally enclosed by '"' escaped by '"' lines terminated by '\r\n'; create table Kdd99_trans( trans_id integer,account_id integer,date date,type varchar(2),operation varchar(20),amount long,balance long,k_symbol varchar(20),bank varchar(4),account long ); load data infile 'C:/ProgramData/MySQL/MySQL Server 8.0/Uploads/Kdd99_trans.csv' into table Kdd99_trans CHARACTER SET gb2312 fields terminated by ',' optionally enclosed by '"' escaped by '"' lines terminated by '\r\n';请问如何验证客户开通信用卡之后,其账户余额相较于开卡之前是否有提升
05-26
可以通过以下SQL语句来验证客户开通信用卡之后,其账户余额是否有提升: ``` SELECT kdd99_accounts.account_id, kdd99_accounts.frequency, SUM(CASE WHEN Kdd99_trans.type = 'PRIJEM' THEN Kdd99_trans.amount ELSE 0 END) - SUM(CASE WHEN Kdd99_trans.type = 'VYDAJ' THEN Kdd99_trans.amount ELSE 0 END) AS balance_before_card, SUM(CASE WHEN Kdd99_trans.type = 'PRIJEM' AND Kdd99_trans.trans_id > (SELECT MIN(Kdd99_trans.trans_id) FROM Kdd99_trans WHERE Kdd99_trans.account_id = kdd99_accounts.account_id AND Kdd99_trans.type = 'VYBER' AND Kdd99_trans.date > Kdd99_card.issued) THEN Kdd99_trans.amount ELSE 0 END) - SUM(CASE WHEN Kdd99_trans.type = 'VYDAJ' AND Kdd99_trans.trans_id > (SELECT MIN(Kdd99_trans.trans_id) FROM Kdd99_trans WHERE Kdd99_trans.account_id = kdd99_accounts.account_id AND Kdd99_trans.type = 'VYBER' AND Kdd99_trans.date > Kdd99_card.issued) THEN Kdd99_trans.amount ELSE 0 END) AS balance_after_card FROM Kdd99_disp JOIN Kdd99_card ON Kdd99_disp.disp_id = Kdd99_card.disp_id JOIN kdd99_accounts ON Kdd99_disp.account_id = kdd99_accounts.account_id LEFT JOIN Kdd99_trans ON Kdd99_trans.account_id = kdd99_accounts.account_id WHERE Kdd99_card.type = 'VISA' GROUP BY kdd99_accounts.account_id, kdd99_accounts.frequency HAVING balance_after_card > balance_before_card; ``` 该SQL语句会查询出所有开通了VISA信用卡的客户账户,并计算出开卡之前和开卡之后的账户余额,然后筛选出开卡之后账户余额比开卡之前高的客户账户。如果有结果,则说明客户开通信用卡之后其账户余额有提升。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值