T00ls元旦献礼之二:DedeEIMS 变量覆盖
据不完全统计,每到跨年之时就是t00ls各大潜水巨牛发0day之日,在此我先抛个砖。
自己看的版本:DedeEIMS_1.1_B090827 (不知道现在什么版本了 )
1. include/common.inc.php大牛们 一看就懂了 我也不多说
利用的方法可以参考
[url=DEDECMS爆严重安全漏洞 免账号密码直接进入后台]https://www.t00ls.com/viewthread.php?tid=17354&highlight=dede[/url]
其他方法 自己读代码去。
2. include/dedesql.class.php这个代码 是不是很眼熟呢 哈哈 利用方法 参考
[url=dedecms最新版本修改任意管理员漏洞]https://www.t00ls.com/viewthread.php?tid=23071&highlight=dede[/url]
[url=我来说说最新这个dedecms getshell 不成功的原因吧]https://www.t00ls.com/viewthread.php?tid=23086&highlight=dede[/url]
其他类似的文章 t00ls 还有很多 自己搜索去吧
最后祝大爷元旦快乐 大牛们 把你们的0day 甩出来吧
自己看的版本:DedeEIMS_1.1_B090827 (不知道现在什么版本了 )
1. include/common.inc.php
foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ) //_POST[GLOBALS][cfg_dbhost] 完美绕过 正确写法参考dedecms
{
exit('Request var not allow!');
}
}
function _RunMagicQuotes(&$svar)
{
if(!get_magic_quotes_gpc())
{
if( is_array($svar) )
{
foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
}
else
{
$svar = addslashes($svar);
}
}
return $svar;
}
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}利用的方法可以参考
[url=DEDECMS爆严重安全漏洞 免账号密码直接进入后台]https://www.t00ls.com/viewthread.php?tid=17354&highlight=dede[/url]
其他方法 自己读代码去。
2. include/dedesql.class.php
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
}[url=dedecms最新版本修改任意管理员漏洞]https://www.t00ls.com/viewthread.php?tid=23071&highlight=dede[/url]
[url=我来说说最新这个dedecms getshell 不成功的原因吧]https://www.t00ls.com/viewthread.php?tid=23086&highlight=dede[/url]
其他类似的文章 t00ls 还有很多 自己搜索去吧
最后祝大爷元旦快乐 大牛们 把你们的0day 甩出来吧
关于作者
评论30次
来了解一下变量覆盖漏洞,对这个一直不是很清楚
支持一下,不错
EIMS是企业版
新年快乐,DEDEIMS和DEDECMS近亲吧。
大牛 新年快乐
dedeeims和dedecms什么关xi
支持一下,新年快乐
大家~新年快乐~
感谢分享、
不错支持了~
新年快乐 大牛
新年快乐~~~
大牛 新年快乐
新年快乐 顶了
我还以为是dedecms呢 不过这两个漏洞和dedecms一模一样的啊。。
新年快乐 赞一个!!!!
dedeeims 是什么? 话说真没 见过这个。 还是dedecms?
大牛新年快乐,各位基友新年快乐
新年快樂
这是啥版本?没有碰到过啊