极品分享

dedecms \plus\guestbook\edit.inc.php留言板注入漏洞及解决办法

1. 漏洞描述:

注射漏洞成功需要条件如下

  1. php magic_quotes_gpc=off

  2. 漏洞文件存在: plus/guestbook.php

  3. 在数据库中: dede_guestbook也需要存在



2. 漏洞触发条件:

1. http://localhost/dedecms5.7/plus/guestbook.php

2. [回复/编辑]上可以看到访问者留言的ID。则记下ID,例如: http://localhost/dedecms5.7/plus/guestbook.php?action=admin&id=1

3. 访问: http://localhost/dedecms5.7/plus/guestbook.php?action=admin&job=editok&msg=errs.cc'&id=1

4. 提交后,如果是dede5.7版本的话,会出现"成功更改或回复一条留言",那就证明修改成功了  5. 再返回到: http://localhost/dedecms5.7/plus/guestbook.php,看下改的那条留言内容是否变为了 errs.cc’ 如果是的话,那就证明此漏洞无法再利用应为他开启: php magic_quotes_gpc=off

6. 如果没有修改成功,那留言ID的内容还是以前的,那就证明漏洞可以利用。 7. 那么再次访问: http://localhost/dedecms5.7/plus/guestbook.php?action=admin&job=editok&id=1&msg=',msg=user(),email='

8. 然后返回,那条留言ID的内容就直接修改成了mysql 的user().


3. 漏洞代码分析:

/plus/guestbook.php

//修改留言
if($action=='admin') {
     include_once(dirname(__FILE__).'/guestbook/edit.inc.php');
     exit(); 
}

\plus\guestbook\edit.inc.php

//这里没有判断$g_isadmin,而是错误地信任了用户的输入: action = "admin"
else if($job=='editok'){
     $remsg = trim($remsg);//这里没有对$msg过滤,导致可以任意注入
     $dsql->ExecuteNoneQuery("update `#@__guestbook` set `msg`='$msg', `posttime`='".time()."' where id='$id' ");
     ShowMsg("成功更改或回复一条留言!",$GUEST_BOOK_POS);
     exit();
}

4. 防御方法

\plus\guestbook\edit.inc.php

else if($job=='editok'){
     $remsg = trim($remsg);
     /* 验证$g_isadmin */
     if($remsg!=''){
         //管理员回复不过滤HTML
         if($g_isadmin){
             $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;
             //$remsg <br><font color=red>管理员回复:</font>
        }else{
             $row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");
             $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";
             $remsg = trimMsg(cn_substrR($remsg, 1024), 1);
             $msg = $oldmsg.$remsg;
         }
     }
    /* */
    /* 对$msg进行有效过滤 */
     $msg = addslashes($msg);
    /* */
     $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
     ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);
     exit();
}


5.补丁下载:

dedecms_edit.inc.php留言板注入漏洞补丁+pm.php会员中心注入漏洞补丁+mtypes.php会员中心注入漏洞补丁+common.inc.phpSESSION变量覆盖导致SQL注入漏洞补丁+filter.inc.php注入漏洞补丁+select_soft_post.php任意文件上传漏洞补丁.rar

2016-07-18 2 /
PHP学习
/
标签: 

评论回复

  1. 回复 2022-07-03 下午 03:58:36 Browser

    edit.inc.php?

Copyright 极品分享 Rights Reserved.

安全运行: 天】



回到顶部