這個(gè)漏洞不足以得到馬兒 但能修改任何文章 也算是一個(gè)嚴(yán)重的漏洞!

　　廢話(huà)不說(shuō)

　　經(jīng)典對(duì)白 看代碼!

　　member\soft_edit.php

　　01if(empty($dopost)) //如果這里是空也就是直接訪問(wèn)這個(gè)文件

　　02{

　　03 //讀取歸檔信息

　　04 $arcQuery= "Select

　　05 dede_channeltype.typename aschannelname,

　　06 dede_arcrank.membername asrankname,

　　07 dede_channeltype.arcsta ,

　　08 dede_archives .*

　　09 From dede_archives

　　10 left join dede_channeltype on dede_channeltype.id=dede_archives.channel

　　11 left join dede_arcrank on dede_arcrank.rank=dede_archives.arcrank

　　12 where dede_archives.id='$aid' ";

　　13//悲劇了 沒(méi)有驗(yàn)證MID信息 AID這里就是文章ID 可以自定義!

　　14 $dsql->SetQuery($arcQuery);

　　15 $row= $dsql->GetOne($arcQuery);

　　16

　　17//省略一堆驗(yàn)證代碼....

　　18include(DEDEMEMBER."/templets/soft_edit.htm"); //載入模板[code]

　　19//再看這個(gè)soft_edit.htm 的代碼

　　20//其中一段是

　　21

　　//輸出了 idhash 這個(gè)很重要

　　//這樣就得到了要修改文章的idhash

　　//然后用修改文章的文件去利用

　　看代碼

　　archives_edit.php

　　01if($dopost=='save')

　　02{

　　03 include(DEDEMEMBER.'/inc/archives_check_edit.php'); //這里是驗(yàn)證idhash

　　04//省略一堆沒(méi)用的代碼

　　05$upQuery= "Update `dede_archives ` set

　　06 ismake='$ismake',

　　07 arcrank='$arcrank',

　　08 typeid='$typeid',

　　09 title='$title',

　　10 litpic='$litpic',

　　11 description='$description',

　　12 keywords='$keywords',

　　13 mtype = '$mtypesid',

　　14 flag='$flag'

　　15 where id='$aid'And mid='$mid'; "; //默認(rèn)的MID是1 也就是ADMIN管理員 aid就是文章ID

　　現(xiàn)在看下archives_check_edit.php這個(gè)文件

　　1$ckhash= md5($aid.$cfg_cookie_encode);

　　2if($ckhash!=$idhash) //idhash就是這樣用的

　　3{

　　4 ShowMsg('校對(duì)碼錯(cuò)誤，你沒(méi)權(quán)限修改此文檔或操作不合法!','-1');

　　5 exit();

　　6}

　　//這樣就成功修改文章了

　　利用EXP:

　　 //這里是文章ID 自己在plus/view.php里找

　　 //發(fā)布人的MID 默認(rèn)ADMIN是1

　　 // 欄目ID 不知道的就自己新發(fā)表一篇然后看源代碼找到可以發(fā)布的ID

　　 //文章標(biāo)題

　　 //文章內(nèi)容

　　 //idhash 在第一步里說(shuō)了怎么獲取了

　　 //驗(yàn)證碼。。新發(fā)布文章就能獲取

　　轉(zhuǎn)自:T00ls

　　作者:心靈

最新評(píng)論