ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全文章 → DeDeCms V5.7 后台文件重命名Getshell [CVE-2018-9134]

DeDeCms V5.7 后台文件重命名Getshell [CVE-2018-9134]

时间:2018-03-31 10:36:28人气:作者:本站作者我要评论

漏洞的入口文件是dede/file_manage_control.php

重点就在于这里的if,由于dede采取的是伪全局变量注册机制,导致在未经过滤的情况下我们可声明任意变量。在该文件中,前面只是简单的验证身份是否正确,并没有对于变量进行任何过滤。也就是说,我们可控$fmdo,$oldfilename,$newfilename这三个变量。

跟进RenameFile方法,文件位于dede/file_class.php:

在这个方法中,对于传入的变量只是进行参数拼接操作,就是我们传入的参数前加上web服务的根目录的绝对路径。对于之后的变量没有任何过滤。导致我们可操作自行上传的文件。从而实现将任意类型文件重命名为php文件。

漏洞利用方法:
首先随便找个上传点,上传合法文件。获取上传之后的文件路径。
这里我找的是前台->会员中心->附件管理,从这上传一个zip文件,内容就是phpinfo()

DeDeCms V5.7 后台文件重命名Getshell  [CVE-2018-9134]

可以在源码里看到上传文件的路径:

DeDeCms V5.7 后台文件重命名Getshell  [CVE-2018-9134]

构造触发重命名payload:

将文件路径的值填入oldfilename参数,这里注意不要加反斜杠,newfilename的值就是我们要生成的木马文件的名称。(由于我的dede并不是放在web服务的根目录下,因此我这里需要加上dedecms/) , fmdo构造为rename即可。

POC:

部分内容被隐藏
需登陆后可查看

执行之后访问:https://www.cesafe.com/dedecms2/wisdom.php

配合存储型xss可getshell。

修复方案:

在file_class.php中过滤$newname参数,或者file_manage_control.php中过滤$newfilename参数,判断文件后缀是否为php

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网