0x01 吹牛逼

官方下载最新安装包http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz

织梦5.7会员中心，由于为了安全性问题，限制了注册会员在会员中心发布信息的时候上传图片，但是管理员登录会员中心发布信息的时候上传图片却不受影响。那该如何解决呢？下面我们来说明一下具体的解决方案。 首先，具体的问题为，注册会员点击图片上传，预览选择好本地图后点击上传到服务器上，会出现如下所示结果： 图片上传失败，并无像正常上传图片后提交按钮跳转到相应的图像属性界面上，仅在当前窗口上弹出一个滚动条，上面的滚动条里面提示为“提示：需输入后台管理目录才能登陆”，但因滚动条高度受限制了所以我们看不到提示。想要查看具体的提升信息的话，请点击向下的滚动条一直往下，即可出现文字提示。如图： 现在知道具体原因后就容易解决问题了，直接搜索织梦网站程序文件夹下的全部包含“提示：需输入后台管理目录才能登陆“的文件，找到include/dialog/config.php文件。其中有段代码

//检验用户登录状态  $cuserLogin = new userLogin();    if($cuserLogin->getUserID() <=0 )  {  if(emptyempty($adminDirHand))  {  ShowMsg( 提示：需输入后台管理目录才能登录请输入后台管理目录名： width:120px;  /> ,  javascript:; );  exit();  }  $gurl =  ../../{$adminDirHand}/login.php?gotopage= .urlencode($dedeNowurl);  echo  location= $gurl ; ;  exit();  }

所以说dedecms5.7要上传图片的话，必须按照上面做，我们这里是按照这个规则，认为管理员开启了会员上传图片的权限，低于5.7的只要开启会员中心即可

windows环境需要经过处理的图片马，需要处理的图片马是因为（绕过文件后缀名检测以后，php-GD对图片的渲染和处理会导致webshell代码错位失效，所以需要特殊的图片马进行绕过,图片马的制作）

漏洞文件：includedialogselect_images_post.php

<?php/**  * 图片选择  *  * @version        $Id: select_images_post.php 1 9:43 2010年7月8日Z tianya $  * @package        DedeCMS.Dialog  * @copyright      Copyright (c) 2007 - 2010, DesDev, Inc.  * @license        http://help.dedecms.com/usersguide/license.html  * @link           http://www.dedecms.com  */require_once(dirname(__FILE__)."/config.php");require_once(dirname(__FILE__)."/../image.func.php");

先看一下它引入的包，为了后期更好的读通代码。

位置：includedialogconfig.php

require_once(dirname(__FILE__)."/../common.inc.php");

继续跟踪文件

位置：includecommon.inc.php

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数if($_FILES) {    require_once(DEDEINC.'/uploadsafe.inc.php'); }

经过这个文件以后，终于可以看到一个函数了，而这个函数上面写到了作用，但它还有一个功能就是过滤掉一些非法函数，跟进去看看。

可以看到includeuploadsafe.inc.php下

$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";

禁止上传的类型，采用的是黑名单的方式。

再往下看

$imtypes = array     (        "image/pjpeg", "image/jpeg", "image/gif", "image/png",          "image/xpng", "image/wbmp", "image/bmp"     );    if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))     {        $image_dd = @getimagesize($$_key);        if (!is_array($image_dd))         {            exit('Upload filetype not allow !');         }     }

这里可以看到它判断了图片上传的类型，这个绕过只需要修改http头就可以了。

头疼的是getimagesize这个函数，这个函数的作用是获取图片大小及相关信息。

再看一下上面的select_images_post.php文件

$imgfile_name = trim(preg_replace("#[ rnt*%\/?><|":]{1,}#", '', $imgfile_name));

利用到了正则替换了。

如果在那个地方上传，http://xxx.com/xxx.jpg这样的话就会允许，但是xxx.php这样就会变成失败。

由于上面写到了正则，所以绕过的方法也很简单只要不等于黑名单的内容即可。比如http://xxxx.com/xxx.jpg?.ph%p这样等等！

往下面再看一行代码

if(!preg_match("#.(".$cfg_imgtype.")#i", $imgfile_name))

这里的代码写的不严谨，只验证了一次黑名单，而构造的图片名字是test.jpg?.ph%p

0x02 漏洞测试

环境：Linux+phpstudy

 上传图片抓包

POST /dedecms/include/dialog/select_images_post.php?CKEditor=body&CKEditorFuncNum=2&langCode=zh-cn HTTP/1.1 Host: ******* Content-Length: 42080
Cache-Control: max-age=0
Origin: http://*******
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryZNrPDjZXsDjHXAYJ
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Referer: http://*****/dedecms/dede/archives_add.php?channelid=6&cid=0 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8
Cookie: ***
Connection: close  ------WebKitFormBoundaryZNrPDjZXsDjHXAYJ Content-Disposition: form-data; name="upload"; filename="test.jpg"Content-Type: image/jpeg  ******* ------WebKitFormBoundaryZNrPDjZXsDjHXAYJ--

然后把filename修改一下 

然后访问路径得 

0x03 感谢

本文感谢wind、phpoop两人的协助代码分析！为什么说后台可以getshell，因为前台编辑器是调用后台的编辑器，所以只需要上文提到注释掉了前台也可以getshell！

以上小姐姐所述
我司一概不负责

本文始发于微信公众号（逢人斗智斗勇）：DedeCMS-V5.7 前台鸡肋&后台getshell漏洞