dedesql.class.php注入,DedeCMS SQL注入

最新推荐文章于 2022-04-30 16:15:00 发布
最新推荐文章于 2022-04-30 16:15:00 发布
阅读量362 收藏
点赞数
文章标签: dedesql.class.php注入

发布时间:2016-08-21

公开时间:N/A

漏洞类型:SQL注入

危害等级:高

漏洞编号:xianzhi-2016-08-39374560

测试版本:N/A

漏洞详情

plus/carbuyaction.php$Items = $cart->getItems();    if(empty($Items))

{

ShowMsg("您的购物车中没有商品!","-1");        exit();

}

…………    foreach($Items as $key=>$val)

{

$val['price'] = str_replace(",","",$val['price']);

$dsql->ExecuteNoneQuery("INSERT INTO #@__shops_products (aid,oid,userid,title,price,buynum)

VALUES ('$val[id]','$OrdersId','$userid','$val[title]','$val[price]','$val[buynum]');");

}

$sql = "INSERT INTO #@__shops_userinfo (userid,oid,consignee,address,zip,tel,email,des)

VALUES ('$userid','$OrdersId','$postname','$address','$zip','$tel','$email','$des');

";

$dsql->ExecuteNoneQuery($sql);

include/shopcar.class.phpfunction getItems()

{

$Products = array();        foreach($_COOKIE as $key => $vals)

{            if(preg_match("#".DE_ItemEcode."#", $key) && preg_match("#[^_0-9a-z]#", $key))

{

parse_str($this->deCrypt($vals), $arrays);

$values = @array_values($arrays);                if(!empty($values))

{

$arrays['price'] = sprintf("%01.2f", $arrays['price']);                    if($arrays['buynum'] 

{

$arrays['buynum'] = 0;

}

$Products[$key] = $arrays;

}

}

}        unset($key,$vals,$values,$arrays);        return $Products;

}

可以看到 item来自cookie 经过decrypt之后直接进了sql

再来看看decrypt函数function deCrypt($txt)

{        return $this->mchStrCode($txt,'DECODE');

}

function mchStrCode($string, $operation = 'ENCODE')

{

$key_length = 4;

$expiry = 0;

$key = md5($GLOBALS['cfg_cookie_encode']);

$fixedkey = md5($key);

$egiskeys = md5(substr($fixedkey, 16, 16));

$runtokey = $key_length ? ($operation == 'ENCODE' ? substr(md5(microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';

$keys = md5(substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));

$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string : base64_decode(substr($string, $key_length));

$i = 0; $result = '';

$string_length = strlen($string);        for ($i = 0; $i 

$result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));

}        if($operation == 'ENCODE') {            return $runtokey . str_replace('=', '', base64_encode($result));

} else {            if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$egiskeys), 0, 16)) {                return substr($result, 26);

} else {                return '';

}

}

}

mchStrCode函数其实就是dz的authcode函数的简化版 虽然简化了 但足够用来防止篡改数据

这里用到的key是cfg_cookie_encode 在安装的时候初始化 用在很多校验用户输入的地方

如果能够搞到这个key 就能伪造cookie实现注入

member/inc/inc_archives_functions.phpfunction PrintAutoFieldsAdd(&$fieldset, $loadtype='all', $isprint=TRUE){    global $cfg_cookie_encode;

$dtp = new DedeTagParse();

$dtp->SetNameSpace('field','');

$dtp->LoadSource($fieldset);

$dede_addonfields = '';

$addonfieldsname = '';    if(is_array($dtp->CTags))

{        foreach($dtp->CTags as $tid=>$ctag)

{            if($loadtype!='autofield' ||  $ctag->GetAtt('autofield')==1 )

{

$dede_addonfields .= ( $dede_addonfields=="" ? $ctag->GetName().",".$ctag->GetAtt('type') : ";".$ctag->GetName().",".$ctag->GetAtt('type') );

$addonfieldsname .= ",".$ctag->GetName();                if ($isprint) echo  GetFormItemA($ctag);

}

}

}    if ($isprint) echo "\r\n";    echo "";    // 增加一个返回

return $addonfieldsname;

}

可以看到 当loadtype='autofield'的时候 $dede_addonfields始终不会被添加 所以md5($dede_addonfields.$cfg_cookie_encode)实际上就是md5($cfg_cookie_encode)

搜了一下很多地方都这样调用 比如member\templets\article_add.htm缩略图:

//自定义字段

PrintAutoFieldsAdd($cInfos['fieldset'],'autofield');      ?>

weixin_39884373
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[分析]-DedeCMS全版本通杀SQL注入漏洞
Nixawk
05-04 5658
mysql> SELECT s.*,t.* FROM -> `dede_member_stow` AS s LEFT JOIN -> `dede_member_stowtype` AS t ON s.type=t.stowname -> WHERE s.aid='1' -> AND s.type='\\' or mid=@`\\'` /*!50000unio
阿里云提示织梦dedecms模版SQL注入漏洞修复方法
PHP错误汇总
12-13 569
很多用户用到阿里云服务器,会经常碰到各种安全提示,不得不说阿里云这一块做的还是很不错的。今天介绍下【阿里云提示织梦dedecms模版SQL注入漏洞修复方法】。 问题原因:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 关于织梦dedecms模板SQL注入漏洞修复方法,主要是文件/member/soft_add.php。 搜索: $urls .= "{dede:link is
Dedecms 搜索模块sql注入
网站守护中心
04-13 1303
Dedecms 搜索模块sql注入描述: Search模块对外部输入参数过滤不严谨,导致产生了sql注入漏洞。 - 收起 Dedecms plus/search.php 文件存在变量覆盖漏洞,导致$typeid能被二次覆盖,产生sql注入漏洞。 Dedecms 搜索模块sql注入危害: 被SQL注入后可能导致以下后果: 1.网页被篡改 2.数据被篡改 - 收起 3. 核心数据被窃
DedeCms v5.7 SQL注入漏洞
网站守护中心
04-13 5390
描述:DedeCms v5.7 SQL注入漏洞WASC Threat Classification 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 - 收起 2.漏洞形成原因:dedecms v5.7的/member/ajax_membergroup.php脚本对用户提交给“membergroup”参数的数据在用于SQL查询前缺少过滤,
dede注入
sun886的专栏
06-19 2020
最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现。原因是此漏洞的利用需要一定的前提条件,而原分析文章当中并没有交代这些,所以这里将我的分析过程以及一些触发的必要条件总结了一下。 一. 漏洞跟踪 发布时间:2013年6月7日 漏洞描述: DedeCMS是一个网站应用系统构建平
dedecms教程:Dedesql数据库类详解(二次开发必备教程)
01-21 628
今天花点时间讲解下织梦的sql数据库类,近期本来是准备录制一套视频教程的,但由于视频压缩的问题迟迟没有开展工作,如果大家有什么好的视频压缩方式可以通过邮件的方式告诉我.目前视频主要想做成wmv或者rmvb这种格式的,里面含有ppt文档以及课程的相关附件.     其实数据库类织梦之前就有一个介绍,这篇文章讲解了数据库类的一些常见的使用方法,不过没有结合例子去介绍,很多人估计看了还不是很懂,为
Dede 注入 SQL注入
06-14
本软件,本人所有,仅供学习使用,请勿用于非法用途,违法使用本软件造成任何后果,软件开发者不承担任何责任,未经受权随意传播,造成一切后果,由传播人及使用人负责! ...,有些由于已修复不能进入,请将查询页数换...
1 dede织梦视频教程-php dede安装.zip
最新发布
04-09
包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用...
基于PHP的大气黑色包装印刷公司dede模板.zip
07-24
【标题】"基于PHP的大气黑色包装印刷公司dede模板.zip"所指的是一款专为包装印刷公司设计的网站模板,该模板采用了大气且专业的黑色主题,以PHP编程语言为基础,结合了DEDECMS(织梦内容管理系统)进行构建。DEDECMS...
网络公司php网站dede源码.zip
07-06
网络公司php网站dede源码简介 1、解压文件上传到空间根目录,注意是根目录。 2、正式安装你的网站,浏览器访问你的域名/install ,根据提示进行下一步的安装到填写数据库信息的时候,准确填写你的数据库信息,其他...
织梦recommend.php SQL注入复现
voctor2436的博客
04-30 936
DedeCMS
DeDeCMS 漏洞修改汇总
qq_34862577的博客
02-28 3606
1、标题: dedecms模版SQL注入漏洞披露时间: 1970-01-01 08:00:00简介:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。解决方案:方案一:使用云盾自研补丁进行一键修复;方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。【注意:该补丁为云...
dedecms 漏洞_dedescan一款织梦漏洞扫描器
weixin_39661780的博客
11-29 1774
dedescan是一款可以扫描所有已公开的dedecms漏洞的扫描器。 ... ... ... ... ...
dedecms tag.php注入漏洞分析与利用工具
weixin_30267785的博客
08-25 477
author:toby57 [www.toby57.cn] date:2008-08-18 Dedecms算是使用比较广泛的PHP整站系统了,在被使用的同时系统的安全性也被人们关注。在以前dedecms也爆过不少漏洞,官方都很快出了补丁,前几天80sec公布了注射漏洞 http://www.80sec.com/dedecms-sql-injection.html,其实这个系统也受最近很流行的...
DeDecms(织梦CMS)最新版任意用户密码重置漏洞分析
热门推荐
3569
01-11 1万+
http://docs.ioin.in/writeup/xianzhi.aliyun.com/_forum_topic_1926/index.html DeDecms(织梦CMS) V5.7.72 正式版20180109 (最新版) 由于前台resetpassword.php中对接受的safeanswer参数类型比较不够严格,遭受弱类型比较攻击 导致了远程攻击者可以在前台会员中心绕过
/DedeCMS/dede/file_manage_control.php
05-27
`/DedeCMS/dede/file_manage_control.php` 是织梦(DedeCMS) 的一个文件管理控制脚本,用于管理网站中的文件和目录。通过该脚本,网站管理员可以上传、下载、删除、编辑和移动文件,以及创建、删除和移动目录等操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值