Dedecms V5.7版本后台可实现对于文件的重命名,可将上传的任意文件重名为php文件,导致getshell。
该漏洞的逻辑比较简单,就从漏洞的入口文件开始看,漏洞的入口文件是dede/file_manage_control.php,其部分源码如下:
![Dedecms V5.7 后台文件重命名[CVE-2018-9134]](https://xzfile.aliyuncs.com/media/upload/picture/20180330183055-6e031b8c-3405-1.png)
![Dedecms V5.7 后台文件重命名[CVE-2018-9134]](https://ae01.alicdn.com/kf/Uf8bc8505674e4a058d3c52481e6fc567E.png)
重点就在于这里的if,由于dede采取的是伪全局变量注册机制,导致在未经过滤的情况下我们可声明任意变量。在该文件中,前面只是简单的验证身份是否正确,并没有对于变量进行任何过滤。也就是说,我们可控$fmdo,$oldfilename,$newfilename这三个变量。
跟进RenameFile方法,文件位于dede/file_class.php:
![Dedecms V5.7 后台文件重命名[CVE-2018-9134]](https://xzfile.aliyuncs.com/media/upload/picture/20180330183056-6e171812-3405-1.png)
在这个方法中,对于传入的变量只是进行参数拼接操作,就是我们传入的参数前加上web服务的根目录的绝对路径。对于之后的变量没有任何过滤。导致我们可操作自行上传的文件。从而实现将任意类型文件重命名为php文件。
利用方式:
首先随便找个上传点,上传合法文件。获取上传之后的文件路径。
这里我找的是前台->会员中心->附件管理,从这上传一个zip文件,内容就是phpinfo()
![Dedecms V5.7 后台文件重命名[CVE-2018-9134]](https://xzfile.aliyuncs.com/media/upload/picture/20180330183056-6e274db8-3405-1.png)
可以在源码里看到上传文件的路径:
![Dedecms V5.7 后台文件重命名[CVE-2018-9134]](https://xzfile.aliyuncs.com/media/upload/picture/20180330183056-6e344fa4-3405-1.png)
接下来构造触发重命名payload:
将文件路径的值填入oldfilename参数,这里注意不要加反斜杠
newfilename的值就是我们要生成的木马文件的名称。(由于我的dede并不是放在web服务的根目录下,因此我这里需要加上dedecms/)
fmdo构造为rename即可
最终生成以下poc:
http://localhost/dedecms2/dede/file_manage_control.php?fmdo=rename&oldfilename=dedecms2/uploads/userup/1/151QM125-42I.zip&newfilename=dedecms2/wisdom.php执行之后访问:http://localhost/dedecms2/wisdom.php
配合存储型xss可getshell。
修复方案:在file_class.php中过滤$newname参数,或者file_manage_control.php中过滤$newfilename参数,判断文件后缀是否为php
mochazz:可以利用这个文件名任意修改的漏洞结合CSRF以及一点点社工手段打出组合拳。具体手法如下:
- 利用dede前台会员上传点上传文件,获取路径
- 构造攻击url
- 将一长长的恶意url变成短连接
- 社工网站管理员,让其点击
- 成功getshell
不过有一点不够隐蔽,就是在管理员点击链接后,会提示成功修改文件名,这个可能会引起细心的管理员的警觉。
原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er
Y4er 
微信扫一扫 
支付宝扫一扫 
