DedeCMS-V5.7 前台雞肋＆後台getshell漏洞

0x01 吹牛逼

官方下載最新安裝包http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz

織夢5.7會員中心，由於為了安全性問題，限制了註冊會員在會員中心發布信息的時候上傳圖片，但是管理員登錄會員中心發布信息的時候上傳圖片卻不受影響。那該如何解決呢？下面我們來說明一下具體的解決方案。 首先，具體的問題為，註冊會員點擊圖片上傳，預覽選擇好本地圖後點擊上傳到伺服器上，會出現如下所示結果： 圖片上傳失敗，並無像正常上傳圖片後提交按鈕跳轉到相應的圖像屬性界面上，僅在當前窗口上彈出一個滾動條，上面的滾動條裡面提示為「提示：需輸入後台管理目錄才能登陸」，但因滾動條高度受限制了所以我們看不到提示。想要查看具體的提升信息的話，請點擊向下的滾動條一直往下，即可出現文字提示。如圖： 現在知道具體原因後就容易解決問題了，直接搜索織夢網站程序文件夾下的全部包含「提示：需輸入後台管理目錄才能登陸「的文件，找到include/dialog/config.php文件。其中有段代碼

所以說dedecms5.7要上傳圖片的話，必須按照上面做，我們這裡是按照這個規則，認為管理員開啟了會員上傳圖片的許可權，低於5.7的只要開啟會員中心即可

windows環境需要經過處理的圖片馬，需要處理的圖片馬是因為（繞過文件後綴名檢測以後，php-GD對圖片的渲染和處理會導致webshell代碼錯位失效，所以需要特殊的圖片馬進行繞過,圖片馬的製作）

漏洞文件：includedialogselect_images_post.php

先看一下它引入的包，為了後期更好的讀通代碼。

位置：includedialogconfig.php

繼續跟蹤文件

經過這個文件以後，終於可以看到一個函數了，而這個函數上面寫到了作用，但它還有一個功能就是過濾掉一些非法函數，跟進去看看。

禁止上傳的類型，採用的是黑名單的方式。

再往下看

這裡可以看到它判斷了圖片上傳的類型，這個繞過只需要修改http頭就可以了。

頭疼的是getimagesize這個函數，這個函數的作用是獲取圖片大小及相關信息。

再看一下上面的select_images_post.php文件

利用到了正則替換了。

如果在那個地方上傳，http://xxx.com/xxx.jpg這樣的話就會允許，但是xxx.php這樣就會變成失敗。

由於上面寫到了正則，所以繞過的方法也很簡單只要不等於黑名單的內容即可。比如http://xxxx.com/xxx.jpg?.ph%p這樣等等！

往下面再看一行代碼

這裡的代碼寫的不嚴謹，只驗證了一次黑名單，而構造的圖片名字是test.jpg?.ph%p

0x02 漏洞測試

環境：Linux+phpstudy

上傳圖片抓包

然後把filename修改一下

然後訪問路徑得

0x03 感謝

本文感謝wind、phpoop兩人的協助代碼分析！為什麼說後台可以getshell，因為前台編輯器是調用後台的編輯器，所以只需要上文提到注釋掉了前台也可以getshell！

以上小姐姐所述

我司一概不負責

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！