没得到dedecms shell却能任意修改文章？这漏洞的原理是什么？

这个漏洞不足以得到马儿 但能修改任何文章 也算是一个严重的漏洞!

废话不说

经典对白 看代码!

member\soft_edit.php

01if(empty($dopost)) //如果这里是空也就是直接访问这个文件

02{

03 //读取归档信息

04 $arcQuery= "Select

05 dede_channeltype.typename aschannelname,

06 dede_arcrank.membername asrankname,

07 dede_channeltype.arcsta ,

08 dede_archives .*

09 From dede_archives

10 left join dede_channeltype on dede_channeltype.id=dede_archives.channel

11 left join dede_arcrank on dede_arcrank.rank=dede_archives.arcrank

12 where dede_archives.id='$aid' ";

13//悲剧了 没有验证MID信息 AID这里就是文章ID 可以自定义!

14 $dsql->SetQuery($arcQuery);

15 $row= $dsql->GetOne($arcQuery);

16

17//省略一堆验证代码....

18include(DEDEMEMBER."/templets/soft_edit.htm"); //载入模板[code]

19//再看这个soft_edit.htm 的代码

20//其中一段是

21

//输出了 idhash 这个很重要

//这样就得到了要修改文章的idhash

//然后用修改文章的文件去利用

看代码

archives_edit.php

01if($dopost=='save')

02{

03 include(DEDEMEMBER.'/inc/archives_check_edit.php'); //这里是验证idhash

04//省略一堆没用的代码

05$upQuery= "Update `dede_archives ` set

06 ismake='$ismake',

07 arcrank='$arcrank',

08 typeid='$typeid',

09 title='$title',

10 litpic='$litpic',

11 description='$description',

12 keywords='$keywords',

13 mtype = '$mtypesid',

14 flag='$flag'

15 where id='$aid'And mid='$mid'; "; //默认的MID是1 也就是ADMIN管理员 aid就是文章ID

现在看下archives_check_edit.php这个文件

1$ckhash= md5($aid.$cfg_cookie_encode);

2if($ckhash!=$idhash) //idhash就是这样用的

3{

4 ShowMsg('校对码错误，你没权限修改此文档或操作不合法!','-1');

5 exit();

6}

//这样就成功修改文章了

利用EXP:

转自:T00ls

作者:心灵