【法客周年度庆】dedecmsv5.7feedback.php注入分析.docVIP

Dedecms v5.7 feedbac.php注入分析 该漏洞是cyg07在乌云提交的， 漏洞文件: plus\feedback.php。 存在问题的代码: ... if($comtype == comments) { $arctitle = addslashes($title); if($msg!=) {//$typeid变量未做初始化 $inquery = INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ($aid,$typeid,$username,$arctitle,$ip,$ischeck,$dtime, {$cfg_ml-M_ID},0,0,$feedbacktype,$face,$msg); ; echo $inquery;//调试，输出查询语句 $rs = $dsql-ExecuteNoneQuery($inquery); if(!$rs) { ShowMsg( 发表评论错误! , -1); //echo $dsql-GetError(); exit(); } } } //引用回复 elseif ($comtype == reply) { $row = $dsql-GetOne(SELECT * FROM `#@__feedback` WHERE id =$fid); $arctitle = $row[arctitle]; $aid =$row[aid]; $msg = $quotemsg.$msg; $msg = HtmlReplace($msg, 2); $inquery = INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ($aid,$typeid,$username,$arctitle,$ip,$ischeck,$dtime,{$cfg_ml-M_ID},0,0,$feedbacktype,$face,$msg); $dsql-ExecuteNoneQuery($inquery); } 完整的输入语句，第二个参数 typeid可控。 INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES (108,2,游客,paxmac,127.0.0.1,1,1351774092, 0,0,0,feedback,0,nsfocuspaxmac team); 想要利用注入，就要先了解下dedecms的防御机制。 首先他对一切request进来的参数都会进行转义，具体看代码 common.inc.php文件 会把所有的request进行处理。 function _RunMagicQuotes($svar) { if(!get_magic_quotes_gpc()) { if( is_array($svar) ) { foreach($svar as $_k = $_v) $svar[$_k] = _RunMagicQuotes($_v); } else { if( strlen($svar)0 preg_match(#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#,$svar) ) { exit(Request var not allow!