当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051889

漏洞标题:DedeCMS全版本通杀SQL注入(无任何限制)

相关厂商:Dedecms

漏洞作者: felixk3y

提交时间:2014-02-24 14:34

修复时间:2014-05-25 14:34

公开时间:2014-05-25 14:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-24: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向第三方安全合作伙伴开放
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-25: 细节向公众公开

简要描述:

年前有人刷了N多DedeCMS的洞,个人表示很无语
粗略看了下,这些洞存在太大限制
一句话总结:只要GPC一开,全部没法用...
试问现在哪个傻子会把GPC关掉... 98%都是打开的,所以哪...
今天这个洞,无视GPC,GPC你哪凉快 哪呆着去...
也一句话总结:很黄很暴力!

详细说明:

#1漏洞代码
Tips: 全过程 $_SERVER["HTTP_USER_AGENT"] 设置为空
/member/buy_action.php 代码如下(只贴关键的代码)

if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify)
{
    parse_str(mchStrCode($pd_encode,'DECODE'),$mch_Post);
    foreach($mch_Post as $k => $v) $$k = $v;
    $row  = $dsql->GetOne("SELECT * FROM #@__member_operation WHERE mid='$mid' And sta=0 AND product='$product'");
    if(!isset($row['buyid']))
    {
        ShowMsg("请不要重复提交表单!", 'javascript:;');
        exit();
    }
    if(!isset($paytype))
    {
        ShowMsg("请选择支付方式!", 'javascript:;');
        exit();
    }
    $buyid = $row['buyid'];
}


我们来看看其中最关键的加密函数 mchStrCode() 168行

function mchStrCode($string,$action='ENCODE')
{
    $key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);
    $string    = $action == 'ENCODE' ? $string : base64_decode($string);
    $len    = strlen($key);
    $code    = '';
    for($i=0; $i<strlen($string); $i++)
    {
        $k        = $i % $len;
        $code  .= $string[$i] ^ $key[$k];
    }
    $code = $action == 'DECODE' ? $code : base64_encode($code);
    return $code;
}


#2 逆向加密函数
重点关注这行代码

$code  .= $string[$i] ^ $key[$k];


可以看出来这个加密算法很弱,采用简单的异或运算,我们知道异或运算是一种可逆的算法,比如:
加密算法:密文 = 明文 ^ 密钥
其中 密文、明文、密钥 只要知道其中的两个 便可以很容易的计算出剩下的那个
通常我们只知道密文,但是如果我们知道与密文相对应的明文,哪怕只是一部分
我们来看看DedeCMS给不给我们这个机会
在会员中心 会员升级/点卡充值 处,购买新点卡 随便选择一中类型,点击购买 在后面购买并支付 抓包
有这样一段密文:

pd_encode=QEELURRVQVxbAEdTExNaXQsFFncBUQRjRgRKKHEKDUV3XFJRZUABRyhyaj5bCnhTAF4HDwEAVApQVgdSBgRZUANTEzN7aWVxY2AtcVwEVwMMUFFUAQFSCw8GVgRWBwBVBFcIV1QEAAdSClQEUhUgUAVTeQ5fCFtjXA5WBAcHCQBWBFYCAFgeJVBTUC9cXl9aZFoJUD5pVgp1BQAKAFQCCVRSCQRWVlZVV1hcUxNyezVsfnl2cXAvajRkeVwXBVBTUABeShlZVV4GUBMZWhFdE1RDXAxdF0ZcQA


我们来看看对应的明文:

product=card&pid=1&DedeUserID=8&DedeUserID__ckMd5=4674d94cfd3ea16d&PHPSESSID=2bb41dc4ba292f722ac1606a35da3b0b&DedeLoginTime=1393217459&DedeLoginTime__ckMd5=5710bf972c7cb9d2&ENV_GOBACK_URL=/dedecms/member/operation.php


经过分析可以得知
1. product=card&pid=1&DedeUserID= 基本不会变化的
2. /member/operation.php 基本不会变化的
3. PHPSESSID=2bb41dc4ba292f722ac1606a35da3b0b 是可以从cookie知道的
...
接下来我们再看看加密密钥的长度:

$key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);


很明显,密钥的长度为:18
SO,综上所述 DedeCMS确实给了我们这样的机会,让我们可以逆向出 mchStrCode() 函数所用的加密密钥
#3 获取加密密钥
我们根据加密算法,可以很容易的写出逆向的算法

<?php
	$mingwen="product=card&pid=1&DedeUserID=";
	$miwen='QEELURRVQVxbAEdTExNaXQsFFncBUQRjRgRKKHEKDUV3XFJRZUABRyhyaj5bCnhTAF4HDwEAVApQVgdSBgRZUANTEzN7aWVxY2AtcVwEVwMMUFFUAQFSCw8GVgRWBwBVBFcIV1QEAAdSClQEUhUgUAVTeQ5fCFtjXA5WBAcHCQBWBFYCAFgeJVBTUC9cXl9aZFoJUD5pVgp1BQAKAFQCCVRSCQRWVlZVV1hcUxNyezVsfnl2cXAvajRkeVwXBVBTUABeShlZVV4GUBMZWhFdE1RDXAxdF0ZcQA';
	$miwen=base64_decode(urldecode($miwen));
	$len=strlen($mingwen);
	for($i=0;$i<strlen($mingwen);$i++){
		$key  .= $miwen[$i] ^ $mingwen[$i];
	}
	echo "Key is: ".$key;
?>


运行结果为:03d5a65a8a575c396403d5a65a8a57
可以看出 03d5a65a8a575c3964 重复进行运算,那么加密密钥为:03d5a65a8a575c3964
#4 漏洞利用上篇
ok 通过对加密函数的分析,我们可以逆向出加密的密钥,接下来 我们接着代码的细节
4.1 加密密钥的生成:

$key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);


4.2 进入漏洞代码的条件

if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify)


重点关注下面的条件:

md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify


一个全局变量进入了我们的眼帘:$cfg_cookie_encode cookie的加密密钥
#3 全局变量 $cfg_cookie_encode 的获取
在对加密函数的分析 得知,可以逆向出加密密钥,而恰巧 加密密钥的计算采用了$cfg_cookie_encode ,即
加密密钥 = md5(UA.$cfg_cookie_encode) 而UA我们是可以伪造的,假设我们将UA设置为空,那么加密密钥就等于:substr(md5($cfg_cookie_encode),8,18)
那么获取加密密钥后 我们是不是可以通过暴力破解 获取$cfg_cookie_encode呢?
好 我们再来看看$cfg_cookie_encode是怎么生成的

$rnd_cookieEncode = chr(mt_rand(ord('A'),ord('Z'))).chr(mt_rand(ord('a'),ord('z'))).chr(mt_rand(ord('A'),ord('Z'))).chr(mt_rand(ord('A'),ord('Z'))).chr(mt_rand(ord('a'),ord('z'))).mt_rand(1000,9999).chr(mt_rand(ord('A'),ord('Z')));


可以看出 $cfg_cookie_encode 长度为10位,格式为
[A-Z][a-z][A-Z][A-Z][a-z][0-9][0-9][0-9][0-9][A-Z] 很有规律,是吧
而我们在 #3 获取加密密钥 中获取了加密密钥为:03d5a65a8a575c3964
那么去掉最后的两位即为 $cfg_cookie_encode 的16位MD5值(为什么去掉后面的两位,自己Google DedeCMS的加密算法去)。
那还等什么 配置好EGB 暴力破解吧 结果如下

md5.jpg


注:采用的是EGB.exe 64位 收费版 很短时间内就可以破解出来
#5 漏洞利用下篇
Good! 获取了$cfg_cookie_encode后 还有什么好说的,看漏洞代码吧

if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify)
{
	echo $pd_encode."<br>";
	echo mchStrCode($pd_encode,'DECODE');exit;
    parse_str(mchStrCode($pd_encode,'DECODE'),$mch_Post);
    foreach($mch_Post as $k => $v) $$k = $v;
    $row  = $dsql->GetOne("SELECT * FROM #@__member_operation WHERE mid='$mid' And sta=0 AND product='$product'");
    if(!isset($row['buyid']))
    {
        ShowMsg("请不要重复提交表单!", 'javascript:;');
        exit();
    }
    if(!isset($paytype))
    {
        ShowMsg("请选择支付方式!", 'javascript:;');
        exit();
    }
    $buyid = $row['buyid'];
}


重点关注这三行代码

parse_str(mchStrCode($pd_encode,'DECODE'),$mch_Post);
foreach($mch_Post as $k => $v) $$k = $v;
$row  = $dsql->GetOne("SELECT * FROM #@__member_operation WHERE mid='$mid' And sta=0 AND product='$product'");


解密$pd_encode后,parse_str变量覆盖 $product,后直接进入SQL查询语句,造成注入漏洞
但进入这三条语句有个条件

md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify


重点在于这个等式是否成立,我们来分析 分析
$pd_encode 我们可以控制,$pd_verify我们也可以控制,$cfg_cookie_encode这个变量在#4 漏洞利用上篇 已成功破解出来,因此我们也可以控制,全部变量都被我们控制了 难道还能不成立,SO... $cfg_cookie_encode突破了 神马都是小KS ...
#6 漏洞利用POC
这个漏洞重在其漏洞分析,遇到问题所采用的突破方法,只给个漏洞的POC,只为证明漏洞的的确确存在。

22.jpg

漏洞证明:

此漏洞重在研究系统加密算法的逆向,获取$cfg_cookie_encode的思路等,对于漏洞,仅给出POC

22.jpg

修复方案:

使用强加密算法,可参考 PHPCMS 的算法

版权声明:转载请注明来源 felixk3y@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-02-25 13:09

厂商回复:

已经修复

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-24 14:34 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    今天这个洞,无视GPC,GPC你哪凉快 哪呆着去...也一句话总结:很黄很暴力!

  2. 2014-02-24 14:35 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    一句话总结:很好很强大!

  3. 2014-02-24 14:36 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    mack

  4. 2014-02-24 14:37 | 妈妈说名字不能起太长 ( 路人 | Rank:20 漏洞数:1 | 这都可以?)

    这个无敌了

  5. 2014-02-24 14:37 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我草

  6. 2014-02-24 14:38 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    前排跪拜

  7. 2014-02-24 14:39 | 小葵 ( 实习白帽子 | Rank:84 漏洞数:11 | 我们是害虫,我们是害虫!)

    听说乌云新出一个世界末日级别的漏洞,特前来围观一下

  8. 2014-02-24 14:39 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    膜拜下大牛牛,哈哈!

  9. 2014-02-24 14:39 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    擦 强势围观

  10. 2014-02-24 14:40 | 五指环绕 ( 路人 | Rank:0 漏洞数:1 | 1,2,3,4,5,6,7~~~~~)

    什么情况?出现了什么?

  11. 2014-02-24 14:49 | xxxav ( 路人 | Rank:1 漏洞数:2 | .)

    坐等公开

  12. 2014-02-24 14:51 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    真这么牛逼?

  13. 2014-02-24 14:53 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    牛B

  14. 2014-02-24 14:55 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

  15. 2014-02-24 14:56 | 三十度 ( 路人 | Rank:0 漏洞数:1 | 本屌精通各种花式撸管,装逼32式炉火纯青。...)

    严重关切

  16. 2014-02-24 14:57 | 宇少 ( 普通白帽子 | Rank:106 漏洞数:41 | Jyhack-TeaM:bbs.jyhack.com 群:308694453...)

    好牛逼

  17. 2014-02-24 15:03 | 永久VIP ( 路人 | Rank:0 漏洞数:1 | 没什么)

    前排求详细

  18. 2014-02-24 15:04 | Mr.醉心 ( 路人 | Rank:2 漏洞数:2 | 爱生活,爱音乐,爱美女,更爱波多野结衣)

    一句话总结:很黄很暴力!密切关注中

  19. 2014-02-24 15:14 | 傻妞 ( 路人 | Rank:1 漏洞数:1 | 傻傻的没人爱)

    被雷劈了

  20. 2014-02-24 15:15 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    咔嚓

  21. 2014-02-24 15:18 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    雅蠛蝶

  22. 2014-02-24 15:20 | terrying ( 实习白帽子 | Rank:59 漏洞数:15 | 雅蠛蝶)

    中排留位

  23. 2014-02-24 15:22 | 笨小猪 ( 路人 | Rank:16 漏洞数:2 | 杯壁下流)

    你把dede弄疼了,你知道吗?

  24. 2014-02-24 15:23 | g00 ( 路人 | Rank:0 漏洞数:1 | 终于进来了~)

    DEDE马上要做XX膜修复手术了我已经准备好了update工具包

  25. 2014-02-24 15:24 | Herolon ( 普通白帽子 | Rank:185 漏洞数:42 | ******)

    围观 关注

  26. 2014-02-24 15:34 | Fakehac ( 路人 | Rank:12 漏洞数:1 | 菜鸟刚来,努力挖洞洞。。。)

    很黄很暴力!

  27. 2014-02-24 15:40 | Walle ( 路人 | Rank:0 漏洞数:5 | ... 位卑、未敢忘忧国! ...)

    果然啊、、哈哈、、

  28. 2014-02-24 15:43 | Tank ( 普通白帽子 | Rank:116 漏洞数:21 | 专注于白帽子渗透测试)

    这个非常不错,正好下个星期要为客户搞安全培训,他们的系统在用dedeCMS,哈哈。。看看不能不能再捞点钱

  29. 2014-02-24 15:45 | 银狼_avi ( 实习白帽子 | Rank:55 漏洞数:13 | 本屌十二岁破处)

    Mark

  30. 2014-02-24 15:59 | 包包 ( 路人 | Rank:6 漏洞数:5 | 我是菜鸟,我怕谁?小弟新来,望大牛多多包...)

    mark.avi~~

  31. 2014-02-24 16:17 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    你在乌云这么屌,你爸妈知道吗?

  32. 2014-02-24 16:26 | 07@jyhack.com ( 路人 | Rank:14 漏洞数:10 | 希望和大家多多交流,多多沟通、)

    围观

  33. 2014-02-24 16:29 | 假面, ( 实习白帽子 | Rank:32 漏洞数:7 | 我是一个小小小小小sb~)

    坐等啊。。。~

  34. 2014-02-24 16:30 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    大黑客就是叼啊

  35. 2014-02-24 16:31 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @xsser 这有1w吗?有我也发个

  36. 2014-02-24 16:36 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @冷静 http://www.wooyun.org/prize

  37. 2014-02-24 16:43 | 洗剪吹 ( 路人 | Rank:1 漏洞数:1 | 出门在外,安全第一!)

    我靠 我刚看dede也懒的研究下去你就来了个这么猛的~

  38. 2014-02-24 16:49 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    再搞几发能成为核心的节奏

  39. 2014-02-24 16:51 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    马克

  40. 2014-02-24 17:08 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)

    mark 这个给力

  41. 2014-02-24 17:12 | Apxar ( 路人 | Rank:2 漏洞数:2 | 黑墙爱好者~)

    围观

  42. 2014-02-24 17:21 | 木马游民 ( 路人 | Rank:17 漏洞数:8 | I love LSD!)

    药药切克闹。。

  43. 2014-02-24 17:31 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    跪拜先

  44. 2014-02-24 17:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    坐等一万

  45. 2014-02-24 17:33 | 七叶 ( 路人 | Rank:15 漏洞数:2 | 求妹纸,求激情)

    坐等细节

  46. 2014-02-24 17:38 | 五色花 ( 路人 | Rank:0 漏洞数:1 | jvav)

    什么时候公开下 !

  47. 2014-02-24 17:39 | andyou ( 路人 | Rank:1 漏洞数:1 | 目前从事网络安全工作)

    屌爆了

  48. 2014-02-24 17:42 | TellYouThat ( 路人 | Rank:6 漏洞数:3 | 不要叫我逗比,我只是个菜比)

    mark 待日

  49. 2014-02-24 17:49 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    坐下

  50. 2014-02-24 17:53 | Matt 认证白帽子 ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)

    - -我有三个无视GPC好不好 楼主有仔细看我的漏洞么

  51. 2014-02-24 17:55 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    @Matt 楼主估计没怎么看。。

  52. 2014-02-24 17:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Matt = =|| 洞主发财了么

  53. 2014-02-24 18:07 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    @Matt 抱歉,当时确实没仔细看。

  54. 2014-02-24 18:14 | 乌云一哥 ( 路人 | Rank:7 漏洞数:1 | echo file_get_contents('http://www.wooyu...)

    @Matt 大牛牛逼。。。继续努力。。。

  55. 2014-02-24 18:15 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

    来晚了。。。

  56. 2014-02-24 18:20 | 小权 ( 路人 | Rank:4 漏洞数:3 | 小菜鸟,求各位大姐大哥多多指教)

    一句话总结:很黄很暴力!密切关注中

  57. 2014-02-24 18:21 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @felixk3y 大神~现在想要来一个找后台的了,注入到了用户名没后台也搞不了啊

  58. 2014-02-24 18:22 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    目测洞主要发财

  59. 2014-02-24 18:22 | lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)

    @M4sk +1

  60. 2014-02-24 18:24 | pigzhu ( 路人 | Rank:4 漏洞数:4 | 网络共享!)

    好东西啊 MARK

  61. 2014-02-24 19:02 | 萝董 ( 实习白帽子 | Rank:31 漏洞数:4 | 你们好,我是萝董~QQ:1104360187 ,光交各...)

    求洞啊!

  62. 2014-02-24 19:31 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  63. 2014-02-24 19:32 | Morker ( 普通白帽子 | Rank:139 漏洞数:24 | 双手是最重要的、、、)

    一句话总结:很黄很暴力!

  64. 2014-02-24 19:46 | 骚年有话说 ( 路人 | Rank:0 漏洞数:1 | 无论怎么讲,我都觉得虚伪。)

    也一句话总结:很黄很暴力! 你们这群撸sir注意队形。撸多了 路都走不稳?

  65. 2014-02-24 20:39 | ( 路人 | Rank:14 漏洞数:4 | 小夜,一个苦逼程序员)

    洞主好牛逼,一句话!洞主你菊花何在?

  66. 2014-02-24 21:32 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @wefgod 快来围观呀

  67. 2014-02-24 22:47 | 野驴~ ( 路人 | Rank:5 漏洞数:2 | 充满强烈好奇心的菜鸟。)

    前排低低头啊,看不到了~

  68. 2014-02-24 22:47 | 404 ( 路人 | Rank:20 漏洞数:4 )

    Mark.rmvb

  69. 2014-02-25 01:22 | 我了个去 ( 普通白帽子 | Rank:139 漏洞数:14 | 4892057@qq.com ...)

    需要注册会员嘛?

  70. 2014-02-25 09:37 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    server?

  71. 2014-02-25 09:45 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    注入..应该能找到,我看看去..

  72. 2014-02-25 10:03 | whitemonty ( 路人 | Rank:7 漏洞数:4 | Secur1ty just lik3 a girl. B0th of th3m ...)

    无任何限制……87V5

  73. 2014-02-25 11:06 | 松子 ( 实习白帽子 | Rank:45 漏洞数:5 | 无事)

    注入..应该能找到,我看看去..

  74. 2014-02-25 13:23 | bite ( 路人 | Rank:2 漏洞数:3 | qbite)

    屌爆了

  75. 2014-02-25 14:03 | kimdle ( 路人 | Rank:0 漏洞数:1 | @kimdle)

    刚刚测试了下,真是百发百中啊

  76. 2014-02-25 14:12 | t00000by57 ( 实习白帽子 | Rank:45 漏洞数:5 | Access Denied.)

    对比了一下今天官方发补的补丁……

  77. 2014-02-25 14:29 | ╰╃清風 ( 实习白帽子 | Rank:89 漏洞数:9 | 这家伙很懒,什么都没有留下)

    @Matt 专注注入几十年啊,大师 小弟膜拜了

  78. 2014-02-25 14:30 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    碉堡了

  79. 2014-02-25 14:51 | Matt 认证白帽子 ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)

    @xsser 还没呢 过完年 开学了 打算继续开刷

  80. 2014-02-25 14:55 | 松子 ( 实习白帽子 | Rank:45 漏洞数:5 | 无事)

    @kimdle 求私信

  81. 2014-02-25 15:12 | kimdle ( 路人 | Rank:0 漏洞数:1 | @kimdle)

    @松子 @felixk3y 不能过web360

  82. 2014-02-25 15:35 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    @kimdle 乱说

  83. 2014-02-25 16:35 | Wens0n ( 普通白帽子 | Rank:102 漏洞数:22 | 精华漏洞数:32 | WooYun认证√ 舞蹈系教授)

    哎。dede!经常被爆

  84. 2014-02-25 16:51 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    赶快去下载补丁分析分析。或者楼主赶紧丢出exp把,哈哈哈

  85. 2014-02-25 17:42 | My5t3ry ( 实习白帽子 | Rank:31 漏洞数:13 )

    @t00000by57 我也对比了,鸡肋中的战斗机。。。。

  86. 2014-02-25 17:43 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @t00000by57 今天的补丁没有修复这个问题把!

  87. 2014-02-25 17:43 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @kimdle 求细节!今天的补丁没修复这个问题!

  88. 2014-02-25 21:24 | t00000by57 ( 实习白帽子 | Rank:45 漏洞数:5 | Access Denied.)

    $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);

  89. 2014-02-25 21:58 | Sunshie ( 实习白帽子 | Rank:58 漏洞数:10 | http://phpinfo.me)

    @ t00000by57 补丁屏蔽了这段代码,,,,到底是哪里有注入呢。。。

  90. 2014-02-25 22:11 | t00000by57 ( 实习白帽子 | Rank:45 漏洞数:5 | Access Denied.)

    例如?_FILES[aid][name]=0&_FILES[aid][type]=1&_FILES[aid][size]=1&_FILES[aid][tmp_name]=abc\'修补前 可以使 $aid 的值为 abc\\'具体不清楚,瞎猜的。

  91. 2014-02-25 22:13 | t00000by57 ( 实习白帽子 | Rank:45 漏洞数:5 | Access Denied.)

    我讨厌wooyun 的自动转义,上面代码 变了

  92. 2014-02-25 22:47 | 小权 ( 路人 | Rank:4 漏洞数:3 | 小菜鸟,求各位大姐大哥多多指教)

    是会员注入吗

  93. 2014-02-25 23:13 | Matt 认证白帽子 ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)

    @t00000by57 有神牛出没~

  94. 2014-02-25 23:14 | My5t3ry ( 实习白帽子 | Rank:31 漏洞数:13 )

    @t00000by57 猜的好,就是这样~分析已发土司。

  95. 2014-02-27 15:30 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    '

  96. 2014-02-27 15:31 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    \'

  97. 2014-02-27 15:31 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    abc'

  98. 2014-02-27 23:50 | 忆苦思甜 ( 实习白帽子 | Rank:65 漏洞数:25 )

    exp才是王道。 come LL !

  99. 2014-02-28 10:55 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    http://p2j.cn/?p=798

  100. 2014-03-17 15:41 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    果然是server

  101. 2014-03-17 16:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    member没开会员中心直接就木有用了吧

  102. 2014-03-22 12:15 | 五色花 ( 路人 | Rank:0 漏洞数:1 | jvav)

    关注下

  103. 2014-04-13 17:21 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    这个不错.... 学习了

  104. 2014-04-13 17:52 | 酱油甲 ( 普通白帽子 | Rank:645 漏洞数:126 | 打个酱油,吃个海蜇~)

    @西毒 感谢你的回复,让我点进了进来,分析很好,学习了

  105. 2014-04-13 17:58 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @酱油甲 不都有提醒的么?

  106. 2014-04-13 18:44 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    EGB这种只能达到HASHCAT一般速度的渣请抛弃

  107. 2014-04-13 19:19 | 酱油甲 ( 普通白帽子 | Rank:645 漏洞数:126 | 打个酱油,吃个海蜇~)

    @xsser 是这样子的,提示“xx漏洞对你公开了”,然后当时点进来,提示“通用型保护,砍洞升级”,然后就只有等别人回复时候才看得到提示啦

  108. 2014-04-14 10:21 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    nice,以后代码审计的大趋势啊

  109. 2014-04-26 13:36 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    冒白啊

  110. 2014-05-25 14:47 | ddy ( 实习白帽子 | Rank:44 漏洞数:16 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    dede翻译来是洞额洞额的意思吗

  111. 2014-05-25 17:41 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    什么购买支付什么抓包的。。。会员中心没有的 有什么用?

  112. 2014-05-25 20:47 | Sura、Rain ( 路人 | Rank:15 漏洞数:8 | 关注Java WEB安全)

    求exp

  113. 2014-06-03 11:17 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    对于楼上那些只关注exp 各种说无用啥的我就呵呵了。学习下大牛的思路,比你抓几只肉鸡好多了。