Dedecms的另类渗透

前言

这个案子完成已有一段时间，早该总结的，先自我批评一下。之所以说是“另类渗透”，严格来说这次渗透是没有成功的，服务器的权限没有拿到，但是拿到了想要的数据。

背景

要获取一个Dedecms 网站的图片数据，网站后台：未知，账号、密码未知。

网站信息收集

这位大神这篇帖子讲渗透讲得很好，附上链接：https://blog.csdn.net/qq_36119192/article/details/84674109
对一个cms（内容分发网站），首先要判断用的什么架构，dedecms的特点很明显。网站根目录下的：robots.txt、/data/admin/ver.txt(版本号)以及固定的一些目录如upload/index.html（该网页内容为：dir），都可以作为dedecms的特征点。

漏洞利用

这里首先表扬下这个网站的维护人员，dedecms暴出的漏洞很多，网上也有很多的利用实例，但凡是网上爆出的漏洞，这个维护人员都堵了。至于其他旁站注入、SQL注入什么的，这个服务器是云服务器，这个方面的防护做得还是不错的。

找网站后台，破账号密码

目前找网站后台的思路基本是：准备一个字典库，然后用字典库的目录一个一个试。简单的目录后台还是有希望的，但如果后台目录保护特殊字符，基本就是不可能的任务了。
针对dedecms，有一个可以利用的地方，红日安全团队对利用原理讲解得很详细，源码也有，链接如下
https://xz.aliyun.com/t/2064
https://bbs.ichunqiu.com/thread-34852-1-1.html?from=csdn
使用了一下，后台秒出。后台出来了，账户、密码的暴力破解破了整整3天没成功，得另辟蹊路。

破解dedecms后台的原理

红日安全团队破解dedecms后台的原理：
1、利用提交的数据覆盖php脚本中的全局变量，
2、利用dedecms服务器中的脚本uploadsafe.inc.php对目录文件进行判断，目录文件存在返回正常，不存在返回：Upload filetype not allow !
3、winapi的利用，引用《代码审计–企业级Web代码安全架构》书的一段话：
Windows 在搜索文件的时候使用到了FindFirstFile 这一个winapi 函数，该函数到一个文件夹(包括子文件夹) 去搜索指定文件。
利用方法很简单，我们只要将文件名不可知部分之后的字符用“<”或者“>”代替即可，不过要注意的一点是，只使用一个“<”或者“>”则只能代表一个字符，如果文件名是12345或者更长，这时候请求“1<”或者“1>”都是访问不到文件的，需要“1<<”才能访问到，代表继续往下搜索，有点像Windows的短文件名，这样我们还可以通过这个方式来爆破目录文件了。
4、利用后台目录里一定有的一个图片文件，综合上述条件，破出后台。
5、刚好这个dedecms的服务器是iis+php+mysql，如果是linux这个方法就不一定可用了。

另辟蹊路

既然可以用这个原理来破后台，理论上就可以把这个网站所有目录下的所有图片的路径爆出来。在这一思路的指导下，折腾一周，终于用python拿到下该网站的图片数据。（若需源码，留言联系）