没得到dedecms shell却能任意修改文章?这漏洞的原理是什么?
这个漏洞不足以得到马儿 但能修改任何文章 也算是一个严重的漏洞!
废话不说
经典对白 看代码!
member\soft_edit.php
01if(empty($dopost)) //如果这里是空也就是直接访问这个文件
02{
03 //读取归档信息
04 $arcQuery= "Select
05 dede_channeltype.typename aschannelname,
06 dede_arcrank.membername asrankname,
07 dede_channeltype.arcsta ,
08 dede_archives .*
09 From dede_archives
10 left join dede_channeltype on dede_channeltype.id=dede_archives.channel
11 left join dede_arcrank on dede_arcrank.rank=dede_archives.arcrank
12 where dede_archives.id='$aid' ";
13//悲剧了 没有验证MID信息 AID这里就是文章ID 可以自定义!
14 $dsql->SetQuery($arcQuery);
15 $row= $dsql->GetOne($arcQuery);
16
17//省略一堆验证代码....
18include(DEDEMEMBER."/templets/soft_edit.htm"); //载入模板[code]
19//再看这个soft_edit.htm 的代码
20//其中一段是
21
//输出了 idhash 这个很重要
//这样就得到了要修改文章的idhash
//然后用修改文章的文件去利用
看代码
archives_edit.php
01if($dopost=='save')
02{
03 include(DEDEMEMBER.'/inc/archives_check_edit.php'); //这里是验证idhash
04//省略一堆没用的代码
05$upQuery= "Update `dede_archives ` set
06 ismake='$ismake',
07 arcrank='$arcrank',
08 typeid='$typeid',
09 title='$title',
10 litpic='$litpic',
11 description='$description',
12 keywords='$keywords',
13 mtype = '$mtypesid',
14 flag='$flag'
15 where id='$aid'And mid='$mid'; "; //默认的MID是1 也就是ADMIN管理员 aid就是文章ID
现在看下archives_check_edit.php这个文件
1$ckhash= md5($aid.$cfg_cookie_encode);
2if($ckhash!=$idhash) //idhash就是这样用的
3{
4 ShowMsg('校对码错误,你没权限修改此文档或操作不合法!','-1');
5 exit();
6}
//这样就成功修改文章了
利用EXP:
转自:T00ls
作者:心灵
无线数据加密的原理是什么?无线数据加密的方法
你肯定不会设计一个没有防火墙的互联网接入的网络。因此,你怎么会架设一个没有加密的无线网络?理解无线加密对于部署一个安全的无线网络是非常重要的。无线传输的安全类似于一个书面信息。有各种各样的方法来发
详情2018-01-02 22:38:07责编:llp 来源:驱动管家硬件加密锁 u盘如何自制加密锁?
今天通过软硬兼施的方法,将廉价的硬件设备转化为系统的安
详情2018-01-29 13:30:17责编:llp 来源:驱动管家有sql注射漏洞的网站,99%拿到权限的方法
————只要给我一个注射点,无论什么权限,我都给你一个webshell甚至系统权限 声明:本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责。因为 发觉其危害过大,原文已经经过大量删减及修改,即使
详情2018-03-03 16:04:23责编:llp 来源:驱动管家ie浏览器出现0day漏洞怎么办?修复0day漏洞的方法
日前有安全机构曝光了IE浏览器的一个0day漏洞,利用这个0day漏洞(CVE-2012-4681)攻击者可以绕过Windows的ASLR(地址空间布局随机化)防护机制,访问用户曾访问过的计算机上所有文件。Windows XP、Vista和Windo
详情2018-01-04 15:37:50责编:llp 来源:驱动管家mysql更改密码的几种方法 mysql密码清空方法
网上流传的几种破解mysql root密码的几种方法:方法一使用phpmyadmin,这是最简单的了,修改mysql库的user表,不过别忘了使用PASSWORD函数。方法二使用mysqladmin,这是前面声明的一个特例。mysqladmin -u root
详情2018-01-15 14:43:59责编:llp 来源:驱动管家为你分析ftp客户端存在将任意位置写入文件的漏洞
受影响系统:Jun Sota FFFTP 1 96b描述:FFFTP是一款小型的FTP客户端软件。FFFTP客户端没有正确地验证FTP服务器所返回的LIST命令响应中包含有目录遍历序列(斜线)的文件名,如果用户受骗从恶意的FTP服务器下
详情2018-01-24 16:40:38责编:llp 来源:驱动管家你知道怎么入侵139端口吗?这里有简单教程
提到139端口,我想知道的人一定非常多,本来是不想用写这个教程的,但考虑要照顾到新人,所以还是简单的写一下。首先,连接的命令是:netuse IP地址 ipc$Content$lt;空格>密码 user:用户名假
详情2018-01-23 09:06:43责编:llp 来源:驱动管家微软lnk漏洞是什么?如何防范微软lnk漏洞的危害?
微软漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,使攻击者能够在未授权的情况下访问或破坏系统,按严重程度分为“紧急”、“重要”、“警告”、“注意”四种。近日,微软 lnk漏洞(快捷方式
详情2018-02-06 13:25:21责编:llp 来源:驱动管家如何获得tomcat后台权限?tomcat权限如何利用?
有些Tomcat安装之后没有修改默认密码(用户名admin,密码为空),这样就可以直接登录进去。有两个目录可以访问: admin manager html admin 目录下的利用:Service--host--actions--Create New Context建立虚
详情2018-02-26 13:37:56责编:llp 来源:驱动管家mysql学习 学习恢复mysql密码的方法
因为MySQL密码存储于数据库mysql中的user表中所以只需要将我windows 2003下的MySQL中的user表拷贝过来覆盖掉就行了在c: mysql data mysql (linux 则一般在 var lib mysql mysql )目录下有三个user表相关文件use
详情2018-01-15 11:08:44责编:llp 来源:驱动管家
- 两种方法教你更新XP系统硬件驱动
- edius怎么创建静帧?edius创建静帧的方法介绍
- 迅捷cad编辑器想要直接使用黑白绘图怎么操作
- win10系统怎么截图?win10系统截图的快捷键介绍
- win pe的主要功能有哪些?win pe的介绍
- 常程宣布联想S5将在3月20日发布
- 韩国软件运营商将成立区块链技术部门 初始代币发行以筹集资金
- 南京大学正式成立人工智能学院
- 腾讯视频怎么下载?腾讯视频下载方法
- Win8.1把时间设置为12小时制的步骤
- 黑莓classic多少钱?黑莓classic性价比如何?
- lumia 950可以用u盘 lumia 950可以连接哪些usb外设?
- 回收站无法清空是怎么回事?电脑系统提示回收站无法清空解决方法
- 什么是TCP/IP协议?网络TCP/IP协议详解
- DOS的四种攻击方法 tfn2k的程序及分析
- unix类操作系统OpenBSD有什么漏洞?导致什么后果?
- WinXP安装HP1010打印机驱动失败该怎么办?
- 谷歌输入法设置模糊拼音的具体步骤详解
- 使用安卓模拟器在电脑上使用微信添加好友的方法
- 电脑主板怎么选择?一招教你如何选择电脑主板