都是去年的东西了,拖啊拖,拖到今天9月份了,http://www.oldjun.com/blog/index.php/archives/68/文章底下我留了个铺垫...本来准备跟黑哥来个SOPW的专辑的...不过还没等我发,80sec的同学已经发出来了...那就算了,直接把注入以及利用写点blog吧...
想说的几点:
1.pw虽然过滤的很BT,但注入不止这一个点;
2.利用注入获取系统关键的db_siteownerid后,拿shell可以获得很大的帮助,包括这个代码执行,以及下面我要公布的上传;
3.去年我看原始的pw7.5的时候,也就是saiy没发布那个包含漏洞http://www.80vul.com/pwvul/phpwind.txt的时候,都不需要db_siteownerid,也就是直接的代码执行。(于是显然...saiy牛也应该很早就发现这个漏洞了...)
好了,先说注入,很明显很白痴的一个点,其实比代码执行好看多了,...
一、漏洞介绍:
Dedecms V5.6 Final版本中的各个文件存在一系列问题,经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去,然后通过SQL注入修改附加表的模板路径为我们上传的模板路径,模板解析类:include/inc_archives_view.php没有对模板路径及名称做任何限制,则可以成功执行恶意代码。
二、漏洞细节:
1、member/article_edit.php文件(注入):
//漏洞在member文件夹下普遍存在,$dede_addonfields是由用户提交的,可以被伪造,伪造成功即可带入sql语句,于是我们可以给附加表的内容进行update赋值。
…
//分析处理附加表数据
$inadd_f = '';
if(!empty($dede_addonfields))//自己构造$dede_addonfields
{
$addonfields = explode(';',$dede_addonfields);
if(is_array($addonfields))
{
print_r($addonfields);
foreach($addonfields as $v...
从来不对什么被黑事件进行评价的,今天破个例:http://dfwb.njnews.cn/html/2010-08/03/content_581396.htm
平时看到什么什么网站被黑的新闻,也见惯不惯了,从事网络安全也好久了,业内哪些是前辈,哪些是高手,哪些是牛人,基本上都了然于心的,于是剩下来的小打小闹,不想也没必要去评论。不过这次不同,第一,该站点我两年前拜访过;第二,这人还算是个老乡!
没有绝对安全的站点,无论什么网站。因为我在南京,所以对南京的站点比较关心,曾经也对南京大大小小的站点稍微检测了下,基本上无安全性可言。所谓njhouse,甚至不知道什么关系的house365,都是php+oracle,前者很容易,直接注入,然后admin进后台,然后....怎么怎么样shell到手了;后者虽然也有注入,但没这么容易,但有个问题,就是活动站点、分站点特别多,于是找出个有漏洞的非常非常的容易,然后,get一个webshell也应该是没有什么难度的。这些东西不谈了,都是陈年老事了...
我想说的第一点,现在的网站管理员每天在做什么,尤其是事业单位网站的这些管理员们。从我0...
很简单的小漏洞,很早就发现了,5月初丢t00ls核心了,又两个多月过去了,咋就没人公布呢。。。算了,最近没啥文章,把这个发上来凑凑数。
看代码的时候是sp3、sp4都存在问题,不过刚刚下了一份最新的sp4版本,已经修复此问题了!
又是未初始化,又是全局...国内的程序很多就是模拟全局,于是带来问题...想当初那个dz不也是么...还有很多php程序这样...对于程序员来说也许方便,但安全...漏洞文件是:fckeditor/data.php ,由于$where_time没初始化,所以可以直接union select 读想要读取的数据~先看看问题代码:
...
switch($action)
{
case '':
if($data == '') exit;
if(CHARSET != 'utf-8') $data = iconv('utf-8', CHARSET, $data);
$db->query("INSERT INTO ".DB_PRE."editor_data SET userid='$_userid', editorid='$editorid', ip='".IP."', created_time='".TIME....
还是前段时间看dede代码的时候看到的,虽然很鸡肋,但也有点用,于是拖着没发;很无语的发现在t00ls被公布了,于是我稍微说一下之类本地包含漏洞的利用方法。
一、漏洞介绍
Dedecms V5.6 Final版本中的plus/carbuyaction.php文件中当dopost为return时,$code变量没有初始化,直接被带入了require once 语句中,由于后面限制了.php,从而只能导致本地包含漏洞。
二、漏洞细节
1、 plus/carbuyaction.php文件:
//漏洞出现下$dopost 为return的时候,$code变量没有被赋值,由于dedecms的全局机制可以任意给其赋值,从而带入包含,导致本地包含漏洞。
…
elseif($dopost == 'return'){
//$code直接引入,from www.oldjun.com
require_once DEDEINC.'/payment/'.$code.'.php';
$pay = new $code;
$msg=$pay->respond();
ShowMsg($msg,"javascript:;",0,3000);
exit();
}
…
2、 include/common.inc.php:
