catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Dedecms 5.3版本下的member/uploads_edit.php中的未限制文件上传漏洞允许远程攻击者通过上传一个有两个扩展的文件名的文件,然后借助未知向量访问该文件而执行任意代码。这已经通过带.jpg.php的文件名所证实

Relevant Link:

http://cve.scap.org.cn/CVE-2009-2270.html

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2009070008

2. 漏洞触发条件

0x1: POC

<form id="frmUpload" enctype="multipart/form-data" action="http://127.0.0.1/dedecms5.5/member/uploads_edit.php?dopost=save&title=ss&oldurl=1'.php" method="post">

<!-- oldurl是注入点 -->

    <input type="file" name="addonfile" id="addonfile" size=""><br>

    <input name="mode" type="hidden" value="">

    <input id="btnUpload" type="submit" value="Upload">

</form>

Relevant Link:

http://www.wooyun.org/bug.php?action=view&id=48894

http://www.2cto.com/Article/201012/80026.html

3. 漏洞影响范围
4. 漏洞代码分析

/member/uploads_edit.php

else if($dopost=='save')

{

    $title = HtmlReplace($title,);

    if($mediatype==) $utype = 'image';

    else if($mediatype==)

    {

        $utype = 'flash';

    }

    else if($mediatype==)

    {

        $utype = 'media';

    }

    else

    {

        $utype = 'addon';

    }

    $title = HtmlReplace($title,);

    //获取"."前面的文件名

    $exname = ereg_replace("(.*)/","",$oldurl);

    //获取"."之外的扩展名

    $exname = ereg_replace("\.(.*)$","",$exname);

    //返回上传的文件名

    $filename = MemberUploads('addonfile',$oldurl,$cfg_ml->M_ID,$utype,$exname,-,-,true);

    //$filename带入函数查询

    SaveUploadInfo($title,$filename,$mediatype);

    ShowMsg("成功修改文件!","uploads_edit.php?aid=$aid");

}

\member\inc\inc_archives_functions.php

function SaveUploadInfo($title,$filename,$medaitype=,$addinfos='')

{

    global $dsql,$cfg_ml,$cfg_basedir;

    if($filename=='')

    {

        return false;

    }

    if(!is_array($addinfos))

    {

        $addinfos[] = $addinfos[] = $addinfos[] = ;

    }

    if($medaitype==)

    {

        $info = '';

        $addinfos = GetImageSize($cfg_basedir.$filename,$info);

    }

    $addinfos[] = @filesize($cfg_basedir.$filename);

    $row = $dsql->GetOne("Select aid,title,url From `#@__uploads` where url like '$filename' And mid='".$cfg_ml->M_ID."'; ");

    $uptime = time();

    if(is_array($row))

    {

        $query = "Update `#@__uploads` set title='$title',mediatype='$medaitype',

                     width='{$addinfos[0]}',height='{$addinfos[1]}',filesize='{$addinfos[2]}',uptime='$uptime'

                     where aid='{$row['aid']}'; ";

        $dsql->ExecuteNoneQuery($query);

    }

    else

    {

        //$filename未进行过滤就带入SQL查询,造成SQL注入

        $inquery = "INSERT INTO `#@__uploads`(title,url,mediatype,width,height,playtime,filesize,uptime,mid)

           VALUES ('$title','$filename','$medaitype','".$addinfos[0]."','".$addinfos[1]."','','".$addinfos[2]."','$uptime','".$cfg_ml->M_ID."'); ";

        $dsql->ExecuteNoneQuery($inquery);

    }

    return true;

}

5. 防御方法

/member/uploads_edit.php

else if($dopost=='save')

{

    $title = HtmlReplace($title,);

    if($mediatype==) $utype = 'image';

    else if($mediatype==)

    {

        $utype = 'flash';

    }

    else if($mediatype==)

    {

        $utype = 'media';

    }

    else

    {

        $utype = 'addon';

    }

    $title = HtmlReplace($title, );

    /* 对$oldurl进行有效过滤 */

    $oldurl = HtmlReplace($oldurl);

    /* */

    $exname = preg_replace("#(.*)/#", "", $oldurl);

    $exname = preg_replace("#\.(.*)$#", "", $exname);

    $filename = MemberUploads('addonfile', $oldurl, $cfg_ml->M_ID, $utype,$exname, -, -, TRUE);

    SaveUploadInfo($title, $filename, $mediatype);

    ShowMsg("成功修改文件!", "uploads_edit.php?aid=$aid");

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

dedecms /member/uploads_edit.php SQL Injection Vul的更多相关文章

  1. dedecms /member/flink_main.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 会员模块中存在的SQL注入 Relevant Link http://w ...

  2. dedecms /member/resetpassword.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 DEDEcms SQL注入漏洞导致可以修改任意用户密码 2. 漏洞触发条 ...

  3. dedecms /member/reg_new.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127 ...

  4. dedecms /member/pm.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...

  5. dedecms /member/myfriend_group.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...

  6. dedecms /member/mtypes.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...

  7. dedecms /member/edit_baseinfo.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 会员模块中存在的SQL注入 Relevant Link: http:// ...

  8. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

  9. dedecms /plus/feedback.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . Dedecms v5.7的plus\feedback.php SQL ...

随机推荐

  1. 告别编译运行 ---- Android Studio 2.0 Preview发布Instant Run功能

    以往的Android开发有一个头疼的且拖慢速度的问题,就是你每改一行代码要想看到结果必须要编译运行到手机或者模拟器上,而且需要从头(可能是登录界面)一直点击到你修改的界面为止.开发一个完整的Andro ...

  2. 让 Generator 自启动

    文章同步自个人博客:http://www.52cik.com/2016/07/11/generator-co.html 此前只是简单使用而没有真正的去研究 Generator,这次要好好折腾下这货. ...

  3. Javascript 模块化开发上线解决方案

    最近又换部门了,好频繁地说...于是把这段时间搞的小工具们简单整理了一下,作了一个小的总结.这次用一个简单业务demo来向大家介绍一下Javascript模块化开发的方式和自动化合并压缩的一些自己的处 ...

  4. X240s安装Win7 以及如何启用ExpressCache

    新买了一台X240S笔记本,尝试了带的Win8正版一个月后,实在无法适应Win8,干脆退回Win7完事,以下为安装过程, 第一步:制作启动U盘 首先,下载一个iso格式的Win7安装镜像文件,利用微软 ...

  5. 网页设计:Meta标签详解

    很多人忽视了HTML标签META的强大功效,一个好的META标签设计可以大大提高你的个人网站被搜索到的可能性,有兴趣吗,谁我来重新认识一下META标签吧! META标签是HTML语言HEAD区的一个辅 ...

  6. 东大OJ-Max Area

    1034: Max Area 时间限制: 1 Sec  内存限制: 128 MB 提交: 40  解决: 6 [提交][状态][讨论版] 题目描述 又是这道题,请不要惊讶,也许你已经见过了,那就请你再 ...

  7. Linux企业集群用商用硬件和免费软件构建高可用集群PDF

    Linux企业集群:用商用硬件和免费软件构建高可用集群 目录: 译者序致谢前言绪论第一部分 集群资源 第1章 启动服务 第2章 处理数据包 第3章 编译内容 第二部分 高可用性 第4章 使用rsync ...

  8. 77 swapon-激活Linux系统中交换空间

    Linux swapon命令用于激活Linux系统中交换空间,Linux系统的内存管理必须使用交换区来建立虚拟内存. 语法 /sbin/swapon -a [-v] /sbin/swapon [-v] ...

  9. Yii 字段验证

    关于验证的属性: $enableClientValidation:是否在客户端验证,也即是否生成前端js验证脚本(如果在form中设置了ajax验证,也会生成这个js脚本). $enableAjaxV ...

  10. Webpack配置示例和详细说明

    /* * 请使用最新版本nodejs * 默认配置,是按生产环境的要求设置,也就是使用 webpack -p 命令就可以生成正式上线版本. * 也可以使用 webpack -d -w 命令,生成用于开 ...