导读:DEDE技术DEDE技术此漏洞无视gpc转义，过80sec注入防御。 补充下，不用担心后台找不到。这只是一个demo，都能修改任意数据库了，还怕拿不到SHELL？ 起因是全局变量$GL织梦模板网站dede免费模板。

此漏洞无视gpc转义，过80sec注入防御。

补充下，不用担心后台找不到。这只是一个demo，都能修改任意数据库了，还怕拿不到SHELL？

起因是全局变量$GLOBALS可以被任意修改，随便看了下，漏洞一堆，我只找了一处。

include/dedesql.class.php

if(isset($GLOBALS['arrs1']))   

{   

    $v1 = $v2 = '';   

    for($i=0;isset($arrs1[$i]);$i++)   

    {   

        $v1 .= chr($arrs1[$i]);   

    }   

    for($i=0;isset($arrs2[$i]);$i++)   

    {   

        $v2 .= chr($arrs2[$i]);   //解码ascii   

    }   

    $GLOBALS[$v1] .= $v2; //注意这里不是覆盖，是+   

}   

        

function SetQuery($sql)   

&n织梦模板网站bsp;   {   

        $prefix="zmb_";   

        $sql =str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql);  //看到这里无话可说，不明白为什么要这样做。   

&ndede会员中心模板bsp;       $this->queryString = $sql;   

    }

另外说下绕过80sec防注入的方法。

同一文件中，有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2

而用ExecuteNoneQuery2执行SQL并没有防注入，于是随便找个用ExecuteNoneQuery2执行的文件。

plus/download.php

else if($open==1)   

{   

    $id = isset($id) && is_numeric($id) ? $id : 0;   

    $link = base64_decode(urldecode($link));   

    $hash = md5($link);   

//这里的#@_是可以控制的   

    $rs = $dsql->ExecuteNoneQuery2("UPDATdede手机模板E `dede_downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");   

    if($rs <= 0)     {         $query = " INSERT INTO `dede_downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); ";         $dsql->ExecNoneQuery($query);   

    }   

关键词标签: 漏洞 DEDE技术 最新版本