dedecms之汗流浃背的审计1day

admin 2024年2月26日14:00:26评论15 views字数 2492阅读8分18秒阅读模式

前言:

又是我,深情哥大弟子江南韵(压星河),最近跟着学了一手更新包审计1day,感觉又更新了技能书。

dedecms之汗流浃背的审计1day

1.官网查找更新包

https://www.dedecms.com/download#changelog

看了一圈就是这个更新日志了,里面都是更新包,我们直接下载一个最新的更新包

dedecms之汗流浃背的审计1day

然后直接打开看看,研究了一下应该是类似文件覆盖的更新的

dedecms之汗流浃背的审计1day

那就好办了,他们教我直接看文件大小就行

dedecms之汗流浃背的审计1day

2.直接定位更新的代码

发现多出了这个,这一看不就限制了任意读取或者删除

dedecms之汗流浃背的审计1day

再往下面看,发现了危险函数unlink,接下来就看delete参数是不是我们可控的就行了

dedecms之汗流浃背的审计1day

3.审计的基本思路

听学长说拿到代码最好看一下目录结构,一般网上都会有的,可以更方便的定位到存在漏洞的功能点,然后再网上就找到了

dedecms之汗流浃背的审计1day

文件再后台/dede/upload.php里面,其实更新日志都写了

dedecms之汗流浃背的审计1day

接下来就是路由了,听说好像直接get传入参数就可以给$delete赋值了

dedecms之汗流浃背的审计1day

可控加路由+危险函数,漏洞点就产生了,真离谱,下次有时间再看看路由情况

dedecms之汗流浃背的审计1day

1day的poc如下

/dede/upload.php?delete=../../要删除的文件

4.还有一个存在漏洞上传的php

/puls/mytag_js.php前台的,当时以为是前台的上传,后面发现不是

dedecms之汗流浃背的审计1day

危险函数为file_put_contents和include,那就是文件包含了应该

dedecms之汗流浃背的审计1day

看一下参数可不可控跟踪$cacheFile发现是可控的 aid是我们可以赋值的

$cacheFile = DEDEDATA.'/cache/mytag-'.$aid.'.htm';

接下来就是$myvalues,经过调式可得,首先得满足aid=1&nocache=1,才能走下去,$myvalues是通过$tagbody控制的

dedecms之汗流浃背的审计1day

再往上走$tagbody是由$row控制

dedecms之汗流浃背的审计1day

再看看$row,是由我们传入的aid控制的,所以这里两个参数都可以控制,但是具体$row的值还是不知道从来里来的

dedecms之汗流浃背的审计1day

所以我们直接看数据库对应的表__mytag,还有注释

dedecms之汗流浃背的审计1day

dedecms之汗流浃背的审计1day

可以分析出这个功能点应该再自定义标签js哪里,如图:

dedecms之汗流浃背的审计1day

然后警告调试myvalues的值是通过查询自定义id值1,再将图中正常内容的值赋值给myvalues,也就是上面的123456

dedecms之汗流浃背的审计1day

所以一目了然了,通过再后台自定义标签js正常内容添加内容,通过file_put_contents将内容写入到data/cache/mytag-1.htm,include包含这个文件就行了。

include $cacheFile;

但是还是有一堆内容检测,挺好绕的,大家可以测试一下,我就不放poc了

global $cfg_disable_funs;        $cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace';        $cfg_disable_funs = $cfg_disable_funs.',[$]GLOBALS,[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,require,create_function,array_map,call_user_func,call_user_func_array,array_filert';        foreach (explode(",", $cfg_disable_funs) as $value) {            $value = str_replace(" ", "", $value);            if(!empty($value) && preg_match("#[^a-z]+['"]*{$value}['"]*
展开收缩
*[([{']#i"
, " {$myvalues}") == TRUE) {
$myvalues = dede_htmlspecialchars($myvalues); die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$myvalues}</pre>"); } if(!empty($value) && preg_match("#<?(php|=)#i", " {$myvalues}") == TRUE) { // $myvalues = dede_htmlspecialchars($myvalues); die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$myvalues}</pre>"); } if(!empty($value) && preg_match("#(<)
展开收缩
*(script)[sS]*(src)
展开收缩
*(=)
展开收缩
*["|']#i"
, " {$content}") == TRUE) {
preg_match_all("#(src)
展开收缩
*(=)
展开收缩
*["|']
展开收缩
*((http|https)(://)[S]*)["|']#i"
, " {$content}", $subject);
foreach ($subject[3] as $url) { if (preg_match("#^(http|https)://#i", $url) && !preg_match("#^(http|https)://{$_SERVER['HTTP_HOST']}#i", $url)) { die("DedeCMS提示:非本站资源无法访问!<pre>{$url}</pre>"); } } }

绕过上面的内容检测,就可以拿最新版的shell了,但是很难受这个是后台的洞,myvalues值是后台修改的,害就分析到这里吧。

dedecms之汗流浃背的审计1day

dedecms之汗流浃背的审计1day

5 总结

想了想交了一下cnvd,发现重复了,真的是汗流浃背了,真nm卷,最新版也重复,下次看看其他的。

dedecms之汗流浃背的审计1day

原文始发于微信公众号(湘安无事):dedecms之汗流浃背的审计1day

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日14:00:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   dedecms之汗流浃背的审计1dayhttp://cn-sec.com/archives/2523161.html

发表评论

匿名网友 填写信息