CVE-2018-9175 DEDECMS后台getshell

已于 2022-03-19 13:39:38 修改
阅读量1.6k 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: web安全
于 2022-03-19 13:35:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/123593419
版权

基础

dedecms对于输入是首先全局进行过滤的,在/common.inc.php中注册(赋值变量)并过滤外部提交的参数,下图可以看到对输入参数进行addslashes

在这里插入图片描述

漏洞分析

首先在 dede\sys_verifies.php的152行

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EUDB8pxd-1647668035752)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319125346194.png)]

159-160行创建配置文件modifytmp.inc

161-162行给其中写入一些php的头和内容

166行中refiles参数是我们可控的,看起来默认是数组格式,对于refiles里面每一个值从168-180行进行一些操作,注意最重要的是180行,前面都无所谓,这里将传入的refiles数组每一个值拼接了一些字符串写入到了modifytmp.inc中。

如果这里的$filename=";phpinfo();die();#,那么写入到modifytmp.inc中的就是$files[‘1’] = “”;phpinfo();die();#,这样如果有文件包含这个文件就可以执行其中的phpinfo了。

关键是如何让$filename=";phpinfo();die();#,dedecms会提前用addslashes过滤输入的参数,如果我们输入?refiles[]=";phpinfo();die();%23,会被变为\";phpinfo();die();#,这样就不能闭合前面的双引号了。

注意168行,这里有个诡异的操作,会首先舍弃掉$filename的前三个字符

$filename = substr($filename,3,strlen($filename)-3);

如果我们输入为?refiles[]=\";phpinfo();die();%23,进入后端首先会被变为\\\";phpinfo();die();#,然后在168行被截掉前三个字符后$filename=";phpinfo();die();#,然后在第180行成功拼接为$files[‘1’] = “”;phpinfo();die();#,最终写入到modifytmp.inc.

现在已经成功将内容写入到了modifytmp.inc中,接下来继续往下走,在第198行浏览器会去访问sys_verifies.php?action=down&curfile=0

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sN2KJ5X8-1647668035752)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319131422555.png)]

当浏览器访问sys_verifies.php?action=down&curfile=0,可以看到刚好包含了这个配置文件,从而执行了phpinfo()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OYJA0qiR-1647668035753)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319131610118.png)]

复现

dede/sys_verifies.php?action=getfiles&refiles[]=123&refiles[]=%22;phpinfo();%23

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-egkMrkxe-1647668035753)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319131702959.png)]

修复建议

对于输入参数进行严格过滤

浔阳江头夜送客丶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2023-2928 DedeCMS 文件包含漏洞getshell 漏洞分析
shelter1234567的博客
04-07 759
这样的话一般的利用方式就不行了,好在cms没用禁用掉文件包含的逻辑,我们可以利用/admin/allowurl.txt 这个文件,实现文件包含任意代码执行。可以将用户输入的字符保存到/admin/allowurl.txt ,因为有stripslashes函数的过滤xss无效。file_manage_control.php 页面为用户提供了网站文件管理的功能,访问file_manage_control.php 利用文件包含构造1.php。尝试在php中或txt中添加php执行代码结果被检测了。
dedecms 文件上传 (CVE-2019-8933)漏洞复现
weixin_42675091的博客
09-03 2995
dedecms 文件上传 (CVE-2019-8933)
dedecms V5.7 SP2 web后台getshell
公众号shadow sock7
11-12 5176
https://www.freebuf.com/vuls/164035.html dede/tpl.php任意文件写入漏洞。 条件:已登录后台。 首先访问/dede/tpl.php?action=upload获取token值 访问/dede/tpl.php?filename=<yourname>.lib.php&action=savetagf
dedecms download.php getshell,Dedecms_V5.7 getshell 利用后台文件上传功能漏洞
weixin_30938297的博客
04-02 401
虽然是复现文章,不过会更详细地来阐释这个漏洞,,因为现在后台getshell花样层出不穷,因此想要复现一波来学习一波getshell姿势~因为是最新的dedecms版本,因此我们直接在织梦官网上下载即可~http://www.dedecms.com/products/dedecms/downloads/DedeCMS V5.7 SP2正式版发布日期: 2017-04-05这里我测试的是utf-8版...
friendlink main.php,灰盒测试之织梦dedecms 5.7 官网最新版 Getshell
weixin_29019241的博客
04-03 427
很久之前一直用dedecms做二次开发、直接做模版就好了,偶尔要写原生的php代码与dede交互,简单的了解了下里面的model,并未深入,dedecms漏洞那么多、、、能不能也找出一个漏洞呢。 下载了官网最新的程序研究了下。在前台有个提交友情链接的地方,链接是:/plus/flink_add.php,估计以前可能这里存在xss的吧。反正现在是修复了,不过发现传入的链接,在后台可以直接打开,这样就...
K8 weblogic-CVE-2018-2628-getshell
07-16
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用! K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用!
CVE-2018-18778.docx
07-23
CVE-2018-18778 ,mini_httpd任意文件读取漏洞,
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
cve-2018-2628 exp getshell
05-21
cve-2018-2628 exp getshell
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT...
DEDECMS5.7后台getshell1
08-03
DEDECMS5.7后台getshell1
Mysql注入思路+编写脚本批量dump数据+getshell——SQL注入
CC__Faker的博客
06-17 938
目录前言0x00 sql注入测试0x0001 注点判断0x0002 回显字段判断0x0003 函数注入0x0004 数据获取0x01 数据下载0x0100 思路0x0101 获取页面0x0102 正则提取0x0103 获取一组数据0x0104 获取多组数据并写入0x0105 程序运行 前言 本次渗透测试的目的是为了验证SQL注入的危害和对联合查询注入流程的详细讲解,以及编写脚本批量下载。 环境:sqli-labs less-1,phpstduy 工具:蚁剑、pycharm 0x00 sql注入测试 0x
批量getshell工具全自动_网站推广_网站推广软件_网络推广_免费网站推广工具_下载列表...
weixin_39631689的博客
11-06 379
网站推广 | 共享版 | 大小: | 环境:XP/2003/Vista/Win7/win10 | 人气:28石青抖音运营专家是一款面向抖音推广者和抖商的运营、推广工具。石青抖音运营专家是一款整合了自动养号,互粉,取关,搜索加人,附近人推广,互动营销的推广工具。在原版抖音系统上,实现推广和引流功能,达到提升关...网站推广 | 免费版 | 大小: | 环境:Win7 | 人气:35爱站SEO工具包是...
Dedecms 5.7 SP2后台getshell
一个安全研究员
07-02 9799
前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/ 复现 版本: 我这里测试的是utf8版,这个版本应该不影响。 漏洞位...
DedeCMS V57_UTF8_SP2后台任意文件上传(CVE-2018-20129)
公众号shadow sock7
01-24 4270
漏洞触发点在: include/dialog/select_images.php 即选择图片文件处。 提交点请求是向这个文件: include/dialog/select_images_post.php 该文件的第一个有效行: require_once(dirname(__FILE__)."/config.php"); config.php第一个有效行: require_once(dirn...
CVE-2018-20129-——DedeCMS V5.7 SP2前台文件上传漏洞
锋刃科技的博客
12-20 5593
0x01 漏洞概述 Desdev DedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容发布、编辑、管理检索等于一体的PHP网站内容管理系统(CMS)。 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞,远程攻击者可利用该漏洞上传并执行任意PH...
dedecms 5.7 download.php 代码执行漏洞,Dedecms V5.7后台任意代码执行[CVE-2018-7700] [高危漏洞][官方未修复]...
weixin_36410316的博客
04-02 723
该漏洞的前提是登陆了后台,所以要不要修复大家看着办吧!该漏洞的触发点为/dede/tag_test_action.php。起因是csrf_check()的绕过,导致可执行任意代码。查看/dede/tag_test_action.php文件的源码:如果直接访问这个文件,会进入csrf_check()函数。提示token错误,且退出执行。跟进csrf_check(),该函数所在文件为dede/conf...
Dedecms 最新版漏洞收集并复现学习
墨痕诉清风的博客
09-30 5362
在用户密码重置功能处,php存在弱类型比较,导致如果用户没有设置密保问题的情况下可以绕过验证密保问题,直接修改密码(管理员账户默认不设置密保问题)。这么一次过滤,直接粗暴的将一些特殊字符替换为空,那么我们就可以通过特殊字符绕过上面的全局文件名不能包含php字符的限制,比如文件名为。这样,由于index.php中我们可以控制返回一个输入值和这个输入值经过服务器处理后的md5值。我们可以看到当uid存在值时就会进入我们现在的代码中,当cookie中的last_vid中不存在值为空时,就会将uid值赋予过去,
CVE-2018-8034
最新发布
07-28
CVE-2018-8034是一个与Apache Tomcat相关的漏洞。根据提供的引用内容,我无法找到与CVE-2018-8034直接相关的信息。请提供更多关于CVE-2018-8034的信息,以便我能够为您提供准确的答案。 #### 引用[.reference_title]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值