代码审计-DedeCMS

admin 2023年12月26日10:53:52评论38 views字数 1311阅读4分22秒阅读模式
代码审计-DedeCMS

点击上方蓝字·关注我们                                                                      

免责声明
代码审计-DedeCMS

由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。谢谢!

CMS介绍

代码审计-DedeCMS

介绍

DedeCMS 是织梦团队开发 PHP 网站管理系统,它以简单、易用、高效为特色,组建出各种各样各具特色的网站,如地方门户、行业门户、政府及企事业站点等。



源码搭建
代码审计-DedeCMS

我这里还是采用小皮面板搭建

代码审计-DedeCMS

安装目录指向uploads,创建成功后访问/install安装即可

漏洞挖掘
代码审计-DedeCMS

漏洞一:目录遍历

目录遍历

全局搜索read()函数,找到dede/file_pic_view.php文件中的一处代码段

代码审计-DedeCMS

我们访问对应文件

代码审计-DedeCMS

这里看似有过滤代码,实际没有,直接../跳转即可

代码审计-DedeCMS

文件遍历

在目录遍历点发现一个文件浏览,点击查看

代码审计-DedeCMS

可以查看文件,发现目录由$activepath控制,值为空的话就跳转到网站根目录

代码审计-DedeCMS但是它这里过滤了.无法跳到网站目录外

漏洞二:文件写入

全局搜索fwrite()函数

代码审计-DedeCMS

定位到/dede/sys_info.php中的一处代码段

代码审计-DedeCMS

看代码应该是写配置文件的地方,第17行定义了写入的文件,我们转到对应文件看下/data/config.cache.inc.php

代码审计-DedeCMS

我们访问网站对应的功能点

代码审计-DedeCMS

由于是.php文件,我们看下有没有对我们传入的值进行过滤

代码审计-DedeCMS

发现在42行会将我们传入的单引号替换为空,但是它这里可以添加数字类型的数据代码审计-DedeCMS

那么我们直接添加代码即可

代码审计-DedeCMS代码审计-DedeCMS

代码审计-DedeCMS

执行其他代码的话,使用分号逃出赋值即可

代码审计-DedeCMS代码审计-DedeCMS

漏洞三:文件写入+文件上传RCE

文件写入RCE

这个是在后台翻到的功能点

代码审计-DedeCMS

尝试编辑写入一句话

代码审计-DedeCMS

我们抓包查看触发文件

代码审计-DedeCMS

查看对应文件代码段

代码审计-DedeCMS文件名可以为.php所以我们重点看$str,很奇怪的是这里没有看到过滤函数,我们往上面翻一下,发现在24行存在检测

代码审计-DedeCMS

但是他检测的函数不全,我这里使用call_user_func()执行命令

代码审计-DedeCMS代码审计-DedeCMS

这里要注意,call_user_func()的第一个参数得是函数,而eval是语言结构不属于函数,assertphp7.2开始被废除以函数调用,和eval一样同为语言结构

任意文件上传RCE

和上个漏洞同一处

代码审计-DedeCMS

也是不检测文件名,检测内容和上处一样修改绕过即可,可抓包控制上传地址。

漏洞四:执行sql语句导致getshell

在网站后台有执行sql语句的功能点

代码审计-DedeCMS

我们可以执行sql语句开启mysql日志文件

get global general_log=no;set global general_log_file="D://phpstudy_pro//WWW//DedeCMS-V5.7.87-UTF8//uploads/caigo.php"

代码审计-DedeCMS

再找个sql语句触发点

代码审计-DedeCMS

代码审计-DedeCMS

代码审计-DedeCMS

语句成功写入并执行

最后
代码审计-DedeCMS

dedeCMS在路由上相对简单,该系统存在多处目录遍历以及文件写入,并且写入件多为php文件,并没对写入内容做详细过滤,导致可以使用其他函数绕过。除了文中提到还有很多处成因相同的漏洞点,各位可下去自行挖掘。


代码审计-DedeCMS

原文始发于微信公众号(菜狗安全):代码审计-DedeCMS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月26日10:53:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代码审计-DedeCMShttps://cn-sec.com/archives/2334492.html

发表评论

匿名网友 填写信息