2014-06-04: 细节已通知厂商并且等待厂商处理中 2014-06-06: 厂商已经确认,细节仅向厂商公开 2014-06-09: 细节向第三方安全合作伙伴开放 2014-07-31: 细节向核心白帽子及相关领域专家公开 2014-08-10: 细节向普通白帽子公开 2014-08-20: 细节向实习白帽子公开 2014-09-02: 细节向公众公开
又见SQL注射,一个小问题引发的多处血案...
DedeCMS在注册时对用户名、电子邮箱等限制的很死,唯独对用户笔名没做限制,可填写单引号等,由此导致再次使用笔名入库时二次注入1. /member/reg_new.php 约194行
$inQuery = "INSERT INTO `#@__member` (`mtype` ,`userid` ,`pwd` ,`uname` ,`sex` ,`rank` ,`money` ,`email` ,`scores` , `matt`, `spacesta` ,`face`,`safequestion`,`safeanswer` ,`jointime` ,`joinip` ,`logintime` ,`loginip` ) VALUES ('$mtype','$userid','$pwd','$uname','$sex','10','$dfmoney','$email','$dfscores', '0','$spaceSta','','$safequestion','$safeanswer','$jointime','$joinip','$logintime','$loginip'); "; //在此之前没有对$uname做判断,可注入单引号 if($dsql->ExecuteNoneQuery($inQuery))
2. 全局搜索M_UserName,username,getUserName()等,找到将笔名再次入库的点,如/include/memberlogin.class.php 约567行
function RecordFeeds($type, $title, $note, $aid) { global $dsql,$cfg_mb_feedcheck; //确定是否需要记录 if (in_array($type,array('add','addsoft','feedback','addfriends','stow'))){ $ntime = time(); $title = htmlspecialchars(cn_substrR($title,255)); if(in_array($type,array('add','addsoft','feedback','stow'))) { $rcdtype = array('add'=>' 成功发布了', 'addsoft'=>' 成功发布了软件', 'feedback'=>' 评论了文章','stow'=>' 收藏了'); //内容发布处理 $arcrul = " <a href='/plus/view.php?aid=".$aid."'>".$title."</a>"; $title = htmlspecialchars($rcdtype[$type].$arcrul, ENT_QUOTES); } else if ($type == 'addfriends') { //添加好友处理 $arcrul = " <a href='/member/index.php?uid=".$aid."'>".$aid."</a>"; $title = htmlspecialchars(' 与'. $arcrul."成为好友", ENT_QUOTES); } $note = Html2Text($note); $aid = (isset($aid) && is_numeric($aid) ? $aid : 0); $ischeck = ($cfg_mb_feedcheck == 'Y')? 0 : 1; $query = "INSERT INTO `#@__member_feed` (`mid`, `userid`, `uname`, `type`, `aid`, `dtime`,`title`, `note`, `ischeck`) Values('$this->M_ID', '$this->M_LoginID', '$this->M_UserName', '$type', '$aid', '$ntime', '$title', '$note', '$ischeck'); "; //插入用户动态,这里是重点,直接使用了$this->M_UserName $rs = $dsql->ExecuteNoneQuery($query); return $rs; } else { return FALSE; }
3. 通过一些可记录feed的操作,如发表文章,加好友等,即可触发此注入
1. 注入新用户,插入sql语句(根据自己爱好写吧,最好结尾加\,然后找到可控的临近字段)
2. 加个好友,触发用户动态记录
3. 到个人中心看看吧~
在注册时就限制好笔名的格式最简单
危害等级:中
漏洞Rank:7
确认时间:2014-06-06 19:42
已修复,感谢提交
暂无
沙发
@phith0n 好巧,早点睡啊~
专注 dede 18年...
隔一段时间,一个DEDECMS的SQL注射。可悲的织梦。
前排 知足了 这么近 一定可以沾光
哥,我们今天去啊。
织梦如今这么可怜....
我来围观了。。。
前排mark
我也要沾光
又是dede
牛逼
流弊
@园长 so good,好好玩,安全第一
亲你又调皮了
流弊,来沾光
NB!
又是dede ,织梦怎么这么多洞
这货成就了那么多土豪啊
@wefgod 楼上才是真土豪~
这次有亮点吗?
织梦这个我倒是发现有sql注入,但是它有一个防护机制,好多函数或者写法被屏蔽了,不知道楼主是已经发现了绕过的方法,请赐教!!!
@blue 酱油路人各种打
@menmen519 绕过方法公开了,呃,drops上就有 http://drops.wooyun.org/papers/353
我要膜拜这个亮点
感谢大神,织梦sql注入漏洞已提交,等待中
@menmen519 厉害
@blue @menmen519 全是大神,根本挡不住
。。。。你的神器真是牛爆了~!!