当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 利用DreamArticle 后台验证漏洞直接登陆后台

杀毒防毒
大蜘蛛杀毒软件是如何扫描系统病毒
完全卸载大蜘蛛杀毒软件的操作方法
如何安装Dr.Web(大蜘蛛杀毒软件)
俄罗斯国防部颁发给Dr.Web大蜘蛛杀毒软件的证书
大蜘蛛杀毒软件隔离区路径设置技巧
大蜘蛛杀毒软件无法启动怎么办?
ESET NOD32防病毒软件取消收发邮件扫描功能
大蜘蛛杀毒软件扫描系统病毒三种方式
Dr.Web无法启动,我们应该怎么办呢?
虚拟机下恢复杀毒软件隔离区的文件
诺顿网络安全特警软件防护功能设置技巧
Kernel32.exe特洛伊木马清除一例
ESET NOD32安全套装非常强大的移动磁盘防护功能
国外媒体:Avira(小红伞)发现Win7漏洞
2009年度中国互联网电脑病毒疫情报告
金山网盾的核心技术:如何实现成功拦截挂马网页
免费PK收费:免费版360杀毒非未逊色
ESET NOD32软件防U盘病毒的设置技巧
卡巴斯基发布2010年网络威胁6项预测
德国小红伞系列防病毒软件Avira V10 Beta

杀毒防毒 中的 利用DreamArticle 后台验证漏洞直接登陆后台


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 34 ::
收藏到网摘: n/a

  Topic: DreamArticle 3.0 后台验证逻辑漏洞和注入漏洞, 导致直接登录后台Team: bbs.wolvez.org
  By q1ur3n
  在admin/global.php 有这样一段代码,用来实现”记住密码”登录后台功能的。
  $administrator    = get_cookie("administrator");
  $adminpassword    = get_cookie("adminpassword");
  if ($administrator && $adminpassword) {
  islogin($administrator,$adminpassword);
  } else {
  unset($_SESSION['admincode']);
  set_cookie("admincode",'',time() - 31536000);
  set_cookie("adminid",'',time() - 31536000);
  set_cookie("administrator", '',time() - 31536000);
  set_cookie("adminpassword", '',time() - 31536000);
  da_admin_login();
  }
  $admin=get_admin_info($administrator,$adminpassword);
  get_cookie() 在/include/common.php
  function get_cookie($name){
  global $_COOKIE,$cookieprename;
  if (isset($_COOKIE[$cookieprename.$name])) {
  return urldecode($_COOKIE[$cookieprename.$name]);
  }
  return FALSE;
  }
  可以看到用了urldecode()函数,可以用%2527引入一个单引号绕过gpc
  Islogin() 在admin/function.php
  function islogin($username, $password) {
  global $DreamCMS;
  $_password_=$DreamCMS->db->get_var("SELECT `password` FROM `#DC@__members` WHERE `username`='{$username}'"); //查询$username的密码
  if($password!=$_password_){ //数据库里的密码和提交的密码相比较,不一样就$ISDreamCMSADMIN=FALSE
  $ISDreamCMSADMIN=FALSE;
  if(md5(base64_encode('__DreamCMS__'.$username.'~!(*%)$!$~'.$password.'%#@)'))==DreamCMSAdmin){
  $ISDreamCMSADMIN=TRUE;  //这里是实现一个超级管理员的功能的,DreamCMSAdmin定义在配置文件里。
  }
  }
  if (empty($username)||empty($password)||$ISDreamCMSADMIN){ //逻辑错误出现了,程序员本意是,如果$username为空,或者$password为空,或者$ISDreamCMSADMIN为false就执行登出处理,可以却忘记了在$ISDreamCMSADMIN前面加上!,这样就刚好和程序员本意相反了.也就是说这里就算我们的密码不对都可以通过这个函数。
  unset($_SESSION['admincode']);
  set_cookie("admincode",'',time() - 31536000);
  set_cookie("adminid",'',time() - 31536000);
  set_cookie("administrator", '',time() - 31536000);
  set_cookie("adminpassword", '',time() - 31536000);
  da_admin_login();
  }
  }
  看下面的$admin=get_admin_info($administrator,$adminpassword);
  function get_admin_info($username, $password) {
  global $DreamCMS;
  $admin=$DreamCMS->db->get_row("SELECT * FROM `#DC@__members` WHERE `username`='{$username}' AND password='{$password}'");
  if(empty($admin)){
  if(md5(base64_encode('__DreamCMS__'.$username.'~!(*%)$!$~'.$password.'%#@)'))==DreamCMSAdmin){
  $admin->uid="1";
  }
  }
  $admin->info && $admin->info=unserialize($admin->info);
  return $admin;
  }
  这里就麻烦了,帐号或者密码不对就没有任何权限。
  别忘了,前面还有个可以绕过gpc的get_cookie()
  详细的利用方法和exp我就不贴出来了,自己摸索。
  本地测试是可以直接进后台的。
  可以参考这里。