没有合适的资源?快使用搜索试试~ 我知道了~
对某 DedeCMS 二开系统全局变量追加漏洞利用1
需积分: 0 0 下载量 174 浏览量
2022-08-04
14:30:46
上传
评论
收藏 3.44MB PDF 举报
温馨提示
试读
13页
1. 找前台 RCE , 从他们改动过的代码中看能不能找一个 RCE 出来 2. 找前台注入, DedeCMS 历史中出过很多注入,他们改过的地方有可能会存在注
资源详情
资源评论
资源推荐
对某 DedeCMS 二开系统全局变量追加漏洞
利用
本文纯属虚构,网站皆为本地靶场。
我写文章总是喜欢带着我的个人感情,去记录我尝试过的失败和踩过的坑,最开始写文章都是为了自己
日后方便想起更多的细节和当时脑子里的想法,所以总是那么的啰啰嗦嗦,嫌长的可以直接看 进入后台
部分
起因
无意中发现某个违法网站所使用的程序在某些细节处很像 DedeCMS ,但又不完全一样,推测出有可能
是自研发或基于 DedeCMS 二开的,感觉有搞头,于是通过 fofa 搜索相关指纹和 ico 得到将近十个
来个类似的站点,并发现了目标的测试站,通过其他站分析得出是 XX公司 基于 DedeCMS 删减后的程
序,于是围绕这十来个站打了一晚上的旁站,就为了能搞到一份源码,从无关紧要的同程序旁站一直打
到开发公司的禅道拿了好几台机器,不是没找到,就是源码不完整一直没搞到一份完整的源码,最终在
禅道中发现了开发公司给客户使用的域名,并通过历史解析记录查到一批之前没有找到的站,最终使用
这些站自身的域名做字典扫描备份获取到了一份在用的、完整的源码,于是就有了这段繁琐的审计与漏
洞利用过程,感觉很有意思,利用也很麻烦所以打算记录一遍。
正文
拿到源码后大概看了一眼,开始有点绝望, 90% 的源码基本都是 DedeCMS 原始的,他们改动最大的
地方就是后台...并且他还把 DedeCMS 重要的 data 目录移到 web 目录外面去了,并且连 /plus 文
件夹下的文件基本都删光了,这导致很多重要的信息和漏洞根本无法通过 web 获取和利用
查看 DedeCMS 的版本文件确认最后一次升级时间为 20180109 对应的版本为 DEDECMS-V5.7-UTF8-
SP2 ,此版本在我印象中出过很多洞,但通过搜索引擎检索该版本历史漏洞,发现基本都是要开启会员
或者进入后台才能利用、一些前台的洞这套程序直接连文件都删掉了,根本无法利用。不过好在发现他
们的后台是固定的,不像原生的 DedeCMS 一样,喜欢要求站长换地址,并且还存在两个后台
一个是 admin@@ (这个是我编的) 这个是织梦原始的后台
另一个是 adminxx (这个也是我编的) 这个是他们自己写的后台。
很幸运,测试发现几乎所有站和目标站都没有修改后台地址,不存在 DedeCMS 找后台难的问题
前面测了那么多历史漏洞都不存在,所以只能从代码入手,看能不能挖个洞出来用了。
那接下来的要做的事情无非就是
1. 找前台 RCE , 从他们改动过的代码中看能不能找一个 RCE 出来
2. 找前台注入, DedeCMS 历史中出过很多注入,他们改过的地方有可能会存在注入
3. 放弃审计,直接去爆破目标测试站后台密码,日下来后挂探针抓密码,拿到密码再去打生产站
很显然我肯定优先尝试第一第二个思路,把源码拖进去法师的代码审计工具里跑一遍,扫出 1458 个可
疑漏洞,心中暗喜,但一路看下来发现 60% 的问题都在两个后台, 40% 是 DedeCMS 框架的问题,前
台能访问的基本都是误报,他们自己写的代码全都在后台 ! 前台展示的,调用的全部都是 DedeCMS 自
己原生的代码!
来给我解释解释,什么叫惊喜!这也能叫二开?这简直就只是换了个 HTML 模板,也好意思把前台对外
所有的 DedeCMS 标识都换成自己的 XXcms 冒充自己公司研发的程序?[摊手]
放弃 1.0
闹归闹,即使代码就是原生的,我的目标也还得接着打,只能硬着头皮审了,看了很久的代码毫无头
绪,又回去看以前爆出的历史用漏洞,最终在一篇看了千八百遍最早发布于 2016年6月 实际有可能跟
早的文章中 ( DedeCMS最新版本修改任意管理员漏洞+getshell+exp 有兴趣的可以百度,一堆) 发现作者
写的一句话
瞬间来劲了,看了一下作者当时所贴出的漏洞代码,定位到相关文件( /include/dedesql.class.php )
发现代码一模一样
但由于找不到原始出处,所以不确定当时所说的最新版是什么版本,并且作者给出的添加用户的 EXP
所触发的文件( /plus/download.php ),我手里这套程序直接把文件给删掉了, /plus 文件夹中只有五
个文件... 看了一眼代码发现只有四个文件在调用链中包含了上面的漏洞文件,但按照逻辑这四个文件
也应该受影响!抱着试试看的态度,拿着作者的 EXP 打了一下 /plus/search.php ,结果提示了
DedeCMS 经典的注入拦截信息!
这明显是生效了!只不过被 DedeCMS 自带的检测函数给拦截了!继续跟代码发现 /plus/search.php
和他的类文件 /include/arc.searchview.class.php , 所有 SQL 查询均使用了
ExecuteNoneQuery 函数,而 ExecuteNoneQuery 函数执行 SQL 语句前会被检测防注入
剩余12页未读,继续阅读
华亿
- 粉丝: 37
- 资源: 308
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0