dedecms任意命令执行漏洞0day

dedecms 任意命令执行漏洞

一、漏洞简介

dedecms后台存在任意命令执行漏洞(已提交cnvd并归档,官方2022.1.12发布补丁,目前新版本已修改,上个版本可以通过链接下载 ,提取码:ikom )

二、漏洞影响

dedecms5.7.85

三、复现过程

漏洞分析

漏洞位置:plus/mytag_js.php
可以看到在文件写入之后,可以通过一些方式直接文件包含。这样的话我们就不必关心文件名(当然文件名是固定htm后缀的)而只需要关心文件写入时传的myvalues是什么内容即可。
在这里插入图片描述
往上看可以发现是通过一个查询得到的,而这个查询具体的语句是什么呢?我们接着往上看。
在这里插入图片描述
在这里插入图片描述
可以看到具体的查询语句是

SELECT * FROM `#@__mytag` WHERE aid='$aid'

那么有查询很有可能有插入的功能,全局搜索表名。
在这里插入图片描述
找到了具体的查询语句,但我们发现没有aid这个列名,那么他肯定是自增的了。
在这里插入图片描述
访问该页面得到具体的插入界面。我们试着插入如下数据。
在这里插入图片描述
接着打印一下$pv->GetResult()的结果,在此之前我们为了不die掉需要传人一个arcID和nocache
在这里插入图片描述
这个具体的aid号我们也是可以看到的。
在这里插入图片描述
在这里插入图片描述
输入完之后发现回显的是f,也就是我们返回的内容是我们插入时传的”正常显示内容“。
最后我们整理一下思路。
1、首先插入一个tag,在“正常显示内容”处传入我们要执行的php代码。
2、通过file_put_contents写入文件。
3、通过include包含文件。

利用过程

1、访问dede/mytag_main.php插入一个标记。
在这里插入图片描述

保存成功后记住对应的编号。
在这里插入图片描述

2、访问/plus/mytag_js.php?arcID=6&nocache=1 (其中的6为tag的编号)来生成文件。
3、访问/plus/mytag_js.php?arcID=6来包含文件。

在这里插入图片描述
成功执行了exec(‘calc’);
我们可以来看下生成的文件内容。
在这里插入图片描述
会被包裹在一些字符串中,但是在include的时候不影响php代码的解析。

  • 3
    点赞
  • 3
    收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页
评论

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值