注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

龙少'Blog

 

 
 
 

日志

 
 

dedeCMS 最新注入漏洞一枚  

2012-11-01 14:35:51|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
简要描述:

?
由于对参数的变量未作初始化检测及使用了类反射的技巧导致 plus\feedback.php 中变量 $typeid 存在注入风险。

详细说明:
由于官方已经发布补丁,而且漏洞未提供POC攻击代码,故此漏洞提前公开。  补丁地址:http://bbs.dedecms.com/551651.html


构造的方式我不提供了,但是你有心阅读下代码就会明白了。

...  if($comtype == 'comments')      {          $arctitle = addslashes($title);          if($msg!='')          {              $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)                     VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); ";              $rs = $dsql->ExecuteNoneQuery($inquery);              if(!$rs)              {                  ShowMsg(' 发表评论错误! ', '-1');                  //echo $dsql->GetError();                  exit();              }          }      }      //引用回复      elseif ($comtype == 'reply')      {          $row = $dsql->GetOne("SELECT * FROM `#@__feedback` WHERE id ='$fid'");          $arctitle = $row['arctitle'];          $aid =$row['aid'];          $msg = $quotemsg.$msg;          $msg = HtmlReplace($msg, 2);          $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)                  VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";          $dsql->ExecuteNoneQuery($inquery);      } 
漏洞证明:

下面我给出一张带了echo信息的问题结果演示。

dedeCMS 最新注入漏洞一枚 - 维护网络界的和平 - 龙少Blog
修复方案:

今天突发想作作代码审计,dedecms中HTTP的输入上用类反射这个技巧第一次见(好吧,我承认我是第一次玩PHP代码审计)。
建议考虑在反射上作得全面点,支持输入参数的类型和开发对应的过滤器作到更灵活更安全,这会给你们解决其中很多没反馈的问题

  评论这张
 
阅读(102)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017