DedeCMS V 5.3 任意变量覆盖漏洞
来源:asp之家 发布时间:2009-06-05 17:54:00
影响版本:
DedeCms V 5.3
程序介绍:
DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于DedeCms核心,是目前国内应用最广泛的php类CMS系统。
漏洞分析:
看核心文件include/common.inc.php中的代码
//检查和注册外部提交的变量
foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && eregi('^(_|cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )//程序员逻辑混乱了?
{
exit('Request var not allow!');
}
}
这个地方可以通过提交_COOKIE变量绕过cfg_等关键字的过滤
接着是注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
然后初始化变量
//数据库配置文件
require_once(DEDEDATA.'/common.inc.php');
//系统配置参数
require_once(DEDEDATA."/config.cache.inc.php");
看似不能利用了,但是幸运的是在文件最后有这样一段代码
//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数
if($_FILES)
{
require_once(DEDEINC.'/uploadsafe.inc.php');
}
再看uploadsafe.inc.php给我们提供了什么
$keyarr = array('name','type','tmp_name','size');
foreach($_FILES as $_key=>$_value)
{
foreach($keyarr as $k)
{
if(!isset($_FILES[$_key][$k]))
{
exit('Request Error!');
}
}
$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\","",$_FILES[$_key]['tmp_name']);
//注意这个地方,通过common.inc.php的漏洞,我们是可以控制$_FILES[$_key]['tmp_name'] 的
这里通过提交类似common.inc.php?_FILES[cfg_xxxx][tmp_name] =aaaaaa&……来覆盖cfg_xxxx
利用的时候注意给cookie赋值,同时要绕过uploadsafe.inc.php里面的一些判断
猜你喜欢
- 在本文中,作者主要介绍了黑客用于攻击网络的一些工具。通过了解这些黑客工具的使用方法,读者可以更好地保护自己网络的安全。为了帮助你更好地防范时
- 11月11日消息,据外国媒体报道,eBay首席执行官John Donahoe称,eBay将关注中国的出口商,并与与中国当地的公司扩大合作。D
- 无论我怎么改vsftpd.conf里面的local_umask上传后的文件属性总是 -rw-------这是怎么回事?用的是虚拟用户登陆虚拟
- 傻瓜才花钱买没有价值的流量从最初的饱受质疑到如今逐渐走上正轨,谷歌中国打破了跨国公司在华总是失败的魔咒。日前,谷歌大中华区总裁李开复在广州对
- 很多电影网站,论坛或其它机构为了方便会员或成员上传电影或者交流文件,都允许用户的上传权限,因为只有允许这个权限,用户才可以上传文件,但这个权
- robots.txt文件的功能非常有限,它并不能诱使蜘蛛在你的网站上花费更多的时间或者访问更多的页面。但如果你知道robots.txt的一些
- 发现很多人收不到google adsense的pin码。我以前也一样。不过我已经取消了pin码验证。上篇文章《四年换来日入50美元——我艰难
- 一种被称为“缓存溢出(buffer overflow)”的设计缺陷,正在严重危害着系统的安全,成为比y2k更为头痛的问题。一旦这个缺陷被别有
- 昨晚,Google公司全球副总裁兼中国区总裁李开复博士来到广东外语外贸大学,与在校大学生畅谈求学与人生规划。他从10年来中国大学生向他提的4
- 近期读了一些关于网络入侵的文章,感觉到增强网络安全是一项日常性的工作,并不是说网络设备、服务器配置好了就绝对安全了,操作系统和一些软件的漏洞
- LuManager(LUM)是基于FreeBSD、Zijidelu、Debian、Centos、Ubuntu等Linux/Unix系统的网站
- 北京时间3月3日早间消息,据国外媒体报道,雅虎CEO卡罗尔·巴茨(Carol Bartz)周二在接受美国CNBC采访时讽刺Facebook缺
- 北京时间10月13日早间消息,据国外媒体今日报道,美国黑客乔治·霍兹(George Hotz)发布了一款名为Black
- 随着搜索引擎日益的智能化,而伴随着一批批作弊网站面临着被搜索引擎淘汰的危机。如果你跟不上搜索引擎的步伐,也许几个月、甚至几天,你所谓的SEO
- 事先声明,本人是新手站长,假如其中有不当的地方请指正,不咬骂偶。 本人做站几年了,不过是在单位里面做,写一些小系统,所以很少接触什
- 虽然WordPress.com在Alexa网站流量排行榜上名次很高,但你可能想不到,这家网站的员工还不到20人,确切地说只有16人,他们都是
- 大千世界、无奇不有,谁也想不到了,中国互联网发展到现在,有越来越多的互联网公司开始光明正大的利用“病毒”来致富,而且行为越来越过费,受害网友
- PHPCMS V9的评论在用户体验方面,并不让人多么满意,更多的用户希望能够有用户体验更好的Ajax版本的评论出现,但一直也未见PHPCMS
- 针对任何一个有效的域名,都应该有一个该域名的权威域名服务器(DNS),在域名服务器中有一条或多条针对于该域名的资源记录。一条资源记录共有5项
- 多人共同协作的群体博客,需要一个明确的协作规范,虽然目前月光博客还不是多人更新的博客,但也有一些写作规范,这里进行了一些总结,以便未来的某些