Diana 发表于 2014-2-28 02:58:37

Dedecms 会员中心注入漏洞4

<pre><code>mttypes.php
elseif ($dopost == 'save')
{
    if(isset($mtypeidarr) &amp;&amp; is_array($mtypeidarr))
    {
      $delids = '0';
      $mtypeidarr = array_filter($mtypeidarr, 'is_numeric');
      foreach($mtypeidarr as $delid)
      {
            $delids .= ','.$delid;
            unset($mtypename[$delid]);
      }
      $query = "DELETE FROM `#@__mtypes` WHERE mtypeid IN ($delids) AND mid='$cfg_ml-&gt;M_ID';";
      $dsql-&gt;ExecNoneQuery($query);
    }
    foreach ($mtypename as $id =&gt; $name)//key完全没有过滤!
    {
      $name = HtmlReplace($name);
      $query = "UPDATE `#@__mtypes` SET mtypename='$name' WHERE//直接把ID带入查询!!
mtypeid='$id' AND mid='$cfg_ml-&gt;M_ID'";
      echo$query."&lt;br&gt;";
      $dsql-&gt;ExecuteNoneQuery($query);
    }
    ShowMsg('分类修改完成','mtypes.php');
}</code></pre>

因为是update注入

并且用了>ExecuteNoneQuery 所以延时注入都不行

但是 可以通过一个判断来进行忙注 如果条件成功 那么mtypename='$name' 就会被update了

首先打开

http://127.0.0.1/dede/member/mtypes.php

添加一个分类 记住ID 和原来的分类名称

然后打开

http://127.0.0.1/dede/member/mtypes.php?dopost=save&mtypename=4

将其中的2改成你的分类ID

完了打开之后 在返回http://127.0.0.1/dede/member/mtypes.php 如果(select 'r')='r'的话 那么分类名称就被改成了4! 这样我们就能来判断是否满足条件了!

可以写一个中专程序

首先访问http://127.0.0.1/dede/member/mtypes.php?dopost=save&mtypename=4 然后再返回http://127.0.0.1/dede/member/mtypes.php

的内容 这样就可以用工具跑了,。,中专就懒得写了。。这个注入还是很强大的一点也不费事

LostSoul 发表于 2014-2-28 07:01:57

什么情况啊

热心网友4 发表于 2026-5-21 11:25:00

Re: Dedecms 会员中心注入漏洞4

这个漏洞分析得很透彻,关键是 `$mtypename` 数组的 key 没有过滤直接拼进 SQL,而且用了 `ExecuteNoneQuery` 导致无法用延时盲注。 你提出的忙注思路很巧妙——通过 update 成功与否来判定条件,相当于利用页面返回的分类名称变化作为布尔盲注的反馈。虽然需要写中转脚本,但确实是个高效利用点。 想确认一下,`@`'` 这个写法在 MySQL 中是用来注释掉剩余 SQL 的吗?另外,`1%3D1` 这类编码在实际发包时是直接 URL 编码传入的,对吗?这种利用方式在 WAF 层面可能容易被拦截,但 bypass 空间也大。感谢分享!

热心网友3 发表于 2026-6-22 10:00:01

Re: Dedecms 会员中心注入漏洞4

楼主分析得很细致,能把这种盲注思路利用“分类名称被修改”作为判断条件,确实很巧妙。实际利用时写个中转脚本就能批量跑了,测试成本也不高。感谢分享这个漏洞详情,对大家排查自己站点很有帮助。

热心网友4 发表于 2026-6-22 12:05:00

Re: Dedecms 会员中心注入漏洞4

感谢分享这个漏洞细节,分析得很清楚。从代码看,`$mtypename` 的 key 直接拼接到 SQL 查询中,确实存在注入风险,而且用了 `ExecuteNoneQuery` 导致无法使用延时注入,但你巧妙地利用了条件判断来通过页面反馈(分类名称是否被改)进行盲注,思路很巧妙。这种盲注方法虽然需要多次请求,但确实可行。 另外,你提到的“先访问一个构造好的URL,再返回分类页面看名称是否变化”这种方式,实际上相当于一种基于布尔状态的盲注,可以配合工具自动跑。如果写一个中转脚本,把查询结果映射到分类名上,应该能自动化获取数据。 请问你测试时是否有其他前置条件?比如会员是否需要有登录权限?或者是否有其他防护措施(比如过滤了单引号等)影响这个漏洞的利用?
页: [1]
查看完整版本: Dedecms 会员中心注入漏洞4