dedecms download.php getshell,Dedecms_V5.7 getshell 利用后台文件上传功能漏洞

最新推荐文章于 2024-04-07 16:20:44 发布
最新推荐文章于 2024-04-07 16:20:44 发布
阅读量401 收藏
点赞数
文章标签: dedecms download.php getshell

2a96caeea3b3bdf1cd3c8995317ad887.png

虽然是复现文章,不过会更详细地来阐释这个漏洞,,因为现在后台getshell花样层出不穷,因此想要复现一波来学习一波getshell姿势~

因为是最新的dedecms版本,因此我们直接在织梦官网上下载即可~

http://www.dedecms.com/products/dedecms/downloads/

DedeCMS V5.7 SP2正式版

发布日期: 2017-04-05

这里我测试的是utf-8版本,,感觉版本这个无所谓~

下载下来然后安装什么的就不说了,,直接进后台,找到漏洞功能以及对应的功能函数

b6377f622e3039e0375f7f061be2ef8d.png

漏洞在”模块”下的”广告管理”处,这里我们点击“添加一个新广告”

35f3f308a7547ad5b60ccb49e52b77ca.png

跟原文复现的有一点不一样,,不过不影响,,下面我们来抓包看看参数

d2f5cc46bfa54e33bdd8179978d7d9bd.png

我们的参数在normbody里,文件为dede/ad_add.php

$query = "

INSERT INTO xiuzhanwang_myad(clsid,typeid,tagname,adname,timeset,starttime,endtime,normbody,expbody)

VALUES('$clsid','$typeid','$tagname','$adname','$timeset','$starttime','$endtime','$normbody','$expbody');

";

$dsql->ExecuteNoneQuery($query);

ShowMsg("成功增加一个广告!","ad_main.php");

exit();

在这里我们看到了我们的代码已经插入到了数据库,,一般的思路应该是找哪些php文件调用了这个广告代码,但是点击我们的广告代码就出现了地址。

cc96002ffec35750c2fada3baeb65943.png

$cacheFile=DEDEDATA.'/cache/myad-'.$aid.'.htm';

if(isset($nocache)||!file_exists($cacheFile)||time()-filemtime($cacheFile)>$cfg_puccache_time)

{

$row=$dsql->GetOne("SELECT * FROM `xiuzhanwang_myad` WHERE aid='$aid' ");

$adbody='';

if($row['timeset']==0)

{

$adbody=$row['normbody'];

}

else

{

$ntime=time();

if($ntime>$row['endtime']||$ntime

$adbody=$row['expbody'];

}else{

$adbody=$row['normbody'];

}

}

$adbody=str_replace('"','\"',$adbody);

$adbody=str_replace("\r","\\r",$adbody);

$adbody=str_replace("\n","\\n",$adbody);

$adbody="\r\n";

$fp=fopen($cacheFile,'w');

fwrite($fp,$adbody);

fclose($fp);

}

include$cacheFile;

这里首先是三个判断条件,nocache不为空,cachefile不为空,这些判断条件我们都可以通过GET或者POST来提交,从而进行伪造~

进入判断条件后往下走,首先是从数据库中select aid,那么这时候我们到数据库中去看看:

198a7f126da1a1c2d110c089ab7673a4.png

这里当时在填写广告信息的时候,设置的timeset为0,因此也就直接令$adbody = $row[‘normbody’];

而这里的normbody也就是我们的evil code,下面我们就应该重点看这个adbody参数

首先进行三个replace,这里的replace好像对我们的参数没有影响,因此直接跳过~

接着将adbody参数插入到document.write()代码中,这里如果做过ctf的人都应该有一种感觉,那就是参数闭合的话,将会造成任意代码执行,这里也就是漏洞的成因所在!

最后打开cachefile,将adbody写入到文件中~

这里由于这个文件是html静态文件,,因此没有可利用点,,还是找下文件吧,,

WWW\uploads\data\cache\myad-3.html

8c59d702e29106d3bf1e7819f0d52816.png

如果是动态文件,,因此我们也可以利用前后闭合来实现任意代码,,扯远了。。

总结来说其实就是$adbody = “\r\n”; 这段代码出的问题

下面我们来构造参数进行poc验证~

首先是访问给的广告链接

cc63f402f170c9d44335a455686a00c1.png

这里我还没输入参数,,下面输入参数逐步进行循环~

其实也就是两个判断条件和一个代码的执行~

70d8f365bc518661786e1613af9201fe.png

这里url不用说,,就是给的广告链接,,其中GET了aid参数,,因此我们只要加上nocache参数,来实现isset($nocache),至于!file_exists($cacheFile)这个刚才文件都找到了,,肯定存在的。。

最后就是就是代码执行,,这里一开始有强迫症,我一定要闭合参数!(下面就是闭合问题的一个尝试)

这里一开始很不解,,这出现的是啥?

"); -->

这是源码,,我们插入了–>这段,,但是双引号没闭合啊!也就是页面语句实际成了下面这样

"); -->

因此也就出现了上面的情况,,这里不太理解,,这样不闭合竟然可以。。

但是我有强迫症。。

c34728883330f8487364c190aa18cf08.png

最后强行闭合。。虽然对结果没影响。。

上述如有不当之处,敬请指出~

转载请注明来源网址:https://www.xiuzhanwang.com/dedecms_aq/1617.html

欧阳畅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mysql注入思路+编写脚本批量dump数据+getshell——SQL注入
CC__Faker的博客
06-17 942
目录前言0x00 sql注入测试0x0001 注点判断0x0002 回显字段判断0x0003 函数注入0x0004 数据获取0x01 数据下载0x0100 思路0x0101 获取页面0x0102 正则提取0x0103 获取一组数据0x0104 获取多组数据并写入0x0105 程序运行 前言 本次渗透测试的目的是为了验证SQL注入的危害和对联合查询注入流程的详细讲解,以及编写脚本批量下载。 环境:sqli-labs less-1,phpstduy 工具:蚁剑、pycharm 0x00 sql注入测试 0x
herewshow#poc#(CVE-2019-8362)Dedecms v5.7 sp2 后台文件上传 getshell1
07-25
1、首先构造一个文件名为1.jpg.php的文件,内容为 2、将该文件进行压缩 3、在常用操作-文件式管理器处上传压缩文件到soft目录下 5、发布预览
DEDECMS5.7后台getshell1
08-03
DEDECMS5.7后台getshell1
CVE-2023-2928 DedeCMS 文件包含漏洞getshell 漏洞分析
最新发布
shelter1234567的博客
04-07 786
这样的话一般的利用方式就不行了,好在cms没用禁用掉文件包含的逻辑,我们可以利用/admin/allowurl.txt 这个文件,实现文件包含任意代码执行。可以将用户输入的字符保存到/admin/allowurl.txt ,因为有stripslashes函数的过滤xss无效。file_manage_control.php 页面为用户提供了网站文件管理的功能,访问file_manage_control.php 利用文件包含构造1.php。尝试在php中或txt中添加php执行代码结果被检测了。
dedecms V5.7 SP2 web后台getshell
公众号shadow sock7
11-12 5178
https://www.freebuf.com/vuls/164035.html dede/tpl.php任意文件写入漏洞。 条件:已登录后台。 首先访问/dede/tpl.php?action=upload获取token值 访问/dede/tpl.php?filename=<yourname>.lib.php&action=savetagf
dedecms-v5.7-sp1远程文件包含getshell
What_Happened的博客
12-13 6247
前段时间自己搭了个dedecms-v5.7-sp1的靶机来练手,偶然在网上发现了一篇靠谱的文章,讲的是dedecms的一个远程文件包含getshell的方法,理解了以后决定自己再写出来,以加深印象~ 利用条件:首先,是目标站安装完cms后并没有删除install文件夹,漏洞文件为\install\index.php.bak 。       其次,目标站点的Apache存在文件解
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
DedecmsV53-UTF8-Final.tar.gz_PHP手机服务器_dedecms_dedecmsv53_mobile
09-20
一、DedeCms V5.3 产品介绍: DedeCms 居于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点...
管理后台UI.rar_dedecms_dedecms后台新样式_dedecms和ui
09-24
dedecms 经典样式,二次开发
批量getshell工具全自动_网站推广_网站推广软件_网络推广_免费网站推广工具_下载列表...
weixin_39631689的博客
11-06 380
网站推广 | 共享版 | 大小: | 环境:XP/2003/Vista/Win7/win10 | 人气:28石青抖音运营专家是一款面向抖音推广者和抖商的运营、推广工具。石青抖音运营专家是一款整合了自动养号,互粉,取关,搜索加人,附近人推广,互动营销的推广工具。在原版抖音系统上,实现推广和引流功能,达到提升关...网站推广 | 免费版 | 大小: | 环境:Win7 | 人气:35爱站SEO工具包是...
dede批量Getshell
10-31
这个是百度批量的。自己保存为xx.php <...$exploit=Getshell($url); if (...% 5BGLOBALS%5D%5Bcfg_dbname%5D=de...
dedecms xss 0day通杀所有版本 可getshell
oceanark的博客
07-13 1761
////////////////////////////////////////////////漏洞虽老,但方法永远不会过时//////////////////////////////////////////////// 漏洞原因:DEDECMS由于编辑器过滤不严,将导致恶意脚本运行。可getshell取得权限。为什么说它是0Day呢?能getshell的都算0Day(鸡肋发挥起
dedeCMS后台getshell
qq_45300786的博客
05-12 1559
这里有三种方法 新建webshell和上传webshell 一、上传webshell 二、新建webshell shell工具连接成功 三、在默认模本里写入webshell 然后更新一下 连接shell工具 连上之后,在写入一个新的webshell,记得再把原来页面改回去。 shell工具连接这个系统文件 ...
friendlink main.php,灰盒测试之织梦dedecms 5.7 官网最新版 Getshell
weixin_29019241的博客
04-03 428
很久之前一直用dedecms做二次开发、直接做模版就好了,偶尔要写原生的php代码与dede交互,简单的了解了下里面的model,并未深入,dedecms漏洞那么多、、、能不能也找出一个漏洞呢。 下载了官网最新的程序研究了下。在前台有个提交友情链接的地方,链接是:/plus/flink_add.php,估计以前可能这里存在xss的吧。反正现在是修复了,不过发现传入的链接,在后台可以直接打开,这样就...
Dedecms 5.7 SP2后台getshell
一个安全研究员
07-02 9801
前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/ 复现 版本: 我这里测试的是utf8版,这个版本应该不影响。 漏洞位...
dede5.7 跳转view.php,DedeCMS V5.7 download.php url重定向漏洞解决方法
weixin_42515376的博客
03-31 269
360网站安全检测发现提示了一个漏洞——[警告]DedeCMS V5.7 download.php url重定向漏洞,该漏洞看文件也知道对应的是/plus/download.php这个文件!那么如何修复此漏洞呢?360网站安全给出的提示是升级到最新版本。。。或许升级确实有用,但是升级可能会对网站造成各种问题!例如标签调用,后台文件修改,如果做过二次开发就更不要轻易升级!所以只能对/plus/dow...
dedecms 5.7sp1中/plus/download.php下载重定向漏洞
主流网络
12-27 3696
2015‎年‎12‎月‎18‎日从官网下载的DedeCMS-V5.7-UTF8-SP1中存在该漏洞。     今天在使用知道创宇的scan安全中心扫描网站时发现/plus/download.php存在url重定向漏洞(攻击者可利用漏洞进行钓鱼等欺诈行为)。截图如下: 查看后发现在dedecms 5.7sp1的/plus/download.php中67行存在如下图中的代码,即接收参数后
php写入织梦,dedeCMS远程写入getshell(测试版本V5.7)
weixin_39645041的博客
03-12 209
漏洞必须结合apache的解析漏洞:当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。dede在安装完成,如果没有删除install文件夹,在install下会有一个index....
dedecms-v5.7.95-utf8.zip
12-19
这个压缩包包含了dedecms v5.7.95版本的所有程序文件和相关资源,采用了UTF-8编码格式。 这个CMS软件是基于PHP+MySQL开发的,并且支持插件扩展。它具有良好的界面友好性和灵活性,可以帮助用户快速建立自己的网站。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值