T00ls元旦献礼之二:DedeEIMS 变量覆盖
据不完全统计,每到跨年之时就是t00ls各大潜水巨牛发0day之日,在此我先抛个砖。
自己看的版本:DedeEIMS_1.1_B090827 (不知道现在什么版本了 )
1. include/common.inc.php大牛们 一看就懂了 我也不多说
利用的方法可以参考
[url=DEDECMS爆严重安全漏洞 免账号密码直接进入后台]https://www.t00ls.com/viewthread.php?tid=17354&highlight=dede[/url]
其他方法 自己读代码去。
2. include/dedesql.class.php这个代码 是不是很眼熟呢 哈哈 利用方法 参考
[url=dedecms最新版本修改任意管理员漏洞]https://www.t00ls.com/viewthread.php?tid=23071&highlight=dede[/url]
[url=我来说说最新这个dedecms getshell 不成功的原因吧]https://www.t00ls.com/viewthread.php?tid=23086&highlight=dede[/url]
其他类似的文章 t00ls 还有很多 自己搜索去吧
最后祝大爷元旦快乐 大牛们 把你们的0day 甩出来吧
自己看的版本:DedeEIMS_1.1_B090827 (不知道现在什么版本了 )
1. include/common.inc.php
foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ) //_POST[GLOBALS][cfg_dbhost] 完美绕过 正确写法参考dedecms
{
exit('Request var not allow!');
}
}
function _RunMagicQuotes(&$svar)
{
if(!get_magic_quotes_gpc())
{
if( is_array($svar) )
{
foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
}
else
{
$svar = addslashes($svar);
}
}
return $svar;
}
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}利用的方法可以参考
[url=DEDECMS爆严重安全漏洞 免账号密码直接进入后台]https://www.t00ls.com/viewthread.php?tid=17354&highlight=dede[/url]
其他方法 自己读代码去。
2. include/dedesql.class.php
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
}[url=dedecms最新版本修改任意管理员漏洞]https://www.t00ls.com/viewthread.php?tid=23071&highlight=dede[/url]
[url=我来说说最新这个dedecms getshell 不成功的原因吧]https://www.t00ls.com/viewthread.php?tid=23086&highlight=dede[/url]
其他类似的文章 t00ls 还有很多 自己搜索去吧
最后祝大爷元旦快乐 大牛们 把你们的0day 甩出来吧
关于作者
评论30次
每到跨年之时就是t00ls各大潜水巨牛发0day之日
新年快乐大牛
哇哦,我爱死你了
支持一下。
强烈支持!
这个确实没看到过
大牛们新年快乐
楼主大牛无疑。
新年快乐。。。。。
怎么是 DedeEIMS 不是dedecms吗?