织梦(Dedecms) 5.1 feedback_js.php 注入漏洞

基本字段

漏洞编号：: SSV-12527

披露/发现时间：: 未知

提交时间：: 2009-10-28

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: DedeCMS
(5.1)

漏洞作者：: 未知

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0.4KB

同样是在magic_quotes_gpc=off的情况下可用

此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl ...... $urlindex = 0; if(empty($arcID)) { $row = $dlist->dsql->GetOne("Select id From #@__cache_feedbackurl where url='$arcurl' "); //此处$arcurl没有过滤 if(is_array($row)) $urlindex = $row['id']; //存在结果则把$urlindex赋值为查询到的$row['id'],我们可以构造SQL语句带入下面的操作中了 } if(empty($arcID) && empty($urlindex)) exit(); //如果$arcID为空或$urlindex为空则退出 ...... if(empty($arcID)) $wq = " urlindex = '$urlindex' "; //我们让$arcID为空,刚才上面执行的结果就会被赋值给$wq带入下面的操作中执行了. else $wq = " aid='$arcID' "; $querystring = "select * from #@__feedback where $wq and ischeck='1' order by dtime desc"; $dlist->Init(); $dlist->SetSource($querystring); ...... 看一下利用方法吧,嘿,为了闭合我用了两次union

DEDECMS 5.1 sebug临时解决办法设置 magic_quotes_gpc=on