當(dāng)前位置：主頁(yè) > 網(wǎng)站建設(shè) > dedecms最新版本修改任意管理員漏洞+getshell+exp【配

dedecms最新版本修改任意管理員漏洞+getshell+exp【配

時(shí)間:2023-07-18 11:07:18 閱讀: 文章分類: 網(wǎng)站建設(shè) 作者: 織夢(mèng)編輯員

導(dǎo)讀:織夢(mèng)技術(shù)織夢(mèng)技術(shù)此漏洞無(wú)視gpc轉(zhuǎn)義，過(guò)80sec注入防御。補(bǔ)充下，不用擔(dān)心后臺(tái)找不到。這只是一個(gè)demo，都能修改任意數(shù)據(jù)庫(kù)了，還怕拿不到SHELL？起因是全局變量$GLdede手機(jī)模板織夢(mèng)模板。

dede手機(jī)模板織夢(mèng)模板

此漏洞無(wú)視gpc轉(zhuǎn)義，過(guò)80sec注入防御。

補(bǔ)充下，不用擔(dān)心后臺(tái)找不到。這只是一個(gè)demo，都能修改任意數(shù)據(jù)庫(kù)了，還怕拿不到SHELL？

起因是全局變量$GLOBALS可以被任意修改，隨便看了下，漏洞一堆，我只找了一處。

include/dedesql.class.php

if(isset($GLOBALS['arrs1']))

{

$v1 = $v2 = '';

for($i=0;isset($arrs1[$i]);$i++)

{

$v1 .= chr($arrs1[$i]);

}

for($i=0;isset($arrs2[$i]);$i++)

{

$v2 .= chr($arrs2[$i]); //解碼ascii

}

$GLOBALS[$v1] .= $v2; //注意這里不是覆蓋，是+

}

function SetQuery($sql)

{

$prefix="ddmx_";

$sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到這里無(wú)話可說(shuō)，不明白為什么要這樣做。

$this->queryString = $sql;

}

另外說(shuō)下繞過(guò)80sec防注入的方法。同一文件中，有兩個(gè)執(zhí)行SQL的函數(shù)。ExecuteNoneQuery和ExecuteNoneQuery2 而用ExecuteNoneQuery2執(zhí)行SQL并沒(méi)有防注入，于是隨便找個(gè)用ExecuteNoneQuery2執(zhí)行的文件。

plus/download.php

else if($open==1)

{

$id = isset($id) && is_numeric($id) ? $id : 0;

$link = base64_decode(urldecode($link));

$hash = md5($link);

//這里的#@_是可以控制的

$rs = $dsql->ExecuteNoneQuery2("UPDATE `ddmx_downloads` SET downloadsdownloads = downloads + 1 WHERE hash='$hash' ");

if($rs <= 0) &nbdede,模板sp; { $query = " INSERT INTO `ddmx_downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query);

關(guān)鍵詞標(biāo)簽: 織夢(mèng) 漏洞最新版本

聲明: 本文由我的SEOUC技術(shù)文章主頁(yè)發(fā)布于:2023-07-18 ，文章dedecms最新版本修改任意管理員漏洞+getshell+exp【配主要講述最新版本,漏洞,織夢(mèng)網(wǎng)站建設(shè)源碼以及服務(wù)器配置搭建相關(guān)技術(shù)文章。轉(zhuǎn)載請(qǐng)保留鏈接: http://www.bifwcx.com/article/web_29872.html