DedeCMS V5.7 SP2前台文件上傳漏洞(CVE-2018-20129)
- 2019 年 10 月 3 日
- 筆記
DedeCMS V5.7 SP2前台文件上傳漏洞(CVE-2018-20129)
一、漏洞描述
織夢內容管理系統(Dedecms)是一款PHP開源網站管理系統。Dedecms V5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上傳漏洞,遠程攻擊者可以利用該漏洞上傳並執行任意PHP程式碼。
該漏洞利用條件:1、需要開發會員註冊功能 2、許可權必須是管理員,普通用戶無法寫入文件
二、漏洞環境搭建
1、官方下載DeDeCMS V5.7 SP2(UTF-8),下載地址: http://www.dedecms.com/products/dedecms/downloads/
2、使用phpstudy搭建web環境
3、把下載好的源碼放到網站根目錄下(www),然後開啟phpstudy, 瀏覽器訪問http://192.168.10.171/dedecms/uploads/install/index.php
4、點擊我已閱讀並繼續。然後是環境檢測,保存默認即可
5、接下來是參數配置,需要設置的只有資料庫密碼,把自己的密碼填上去就行了
6、然後就把環境搭好了
7、登錄後台,開啟會員功能
三、漏洞復現
1、首先進入會員中心,必須是管理員的許可權,因為後面上傳文件有許可權限制。進入會員中心後進入內容中心模組
2、發布一個文章,點擊下面的編輯器的上傳圖片按鈕。
3、測試上傳一個test.jpg的圖片但是內容只有php一句話,下圖返回可以看到上傳失敗
4、測試上傳一個test.jpg的圖片但是內容只有php一句話和圖片的標識頭
5、查看程式碼,在dedecmsincludedialogselect_images_post.php中的36行,過濾了一些看起來不正常的字元,可以通過以.p*hp後綴來繞過這行程式碼
6、在38行處判斷了文件名是否包含了$cfg_imgtype的字元。查看cfg_imgtype所在的位置dedecmsinstallconfig.cache.inc.php,可以構造abc.p*hp可以繞過36和38行程式碼
7、從上面的正則表達式中可以看到,*、%、?、<>可以繞過限制,這裡以”*”為例,構造payload繞過
7.1、點擊上傳,選擇準備好的一句話圖片木馬文件(一個test.jpg的圖片但是內容只有php一句話和圖片的標識頭)
7.2、用burp工具抓包,將test.jpg改為test.jpg.p*hp,下圖可以看到成功上傳,但是不知道上傳的路徑
7.3 製作一個隱藏度高點的圖片馬(圖片不損壞),然後上傳
7.4下圖可以看到成功上傳並且返回了上傳的地址
8、菜刀連接訪問,解析失敗,無法連接,可能是圖片和一句話製作的圖片馬影響了解析
9、通過上傳圖片馬獲得的上傳地址,瀏覽器訪問http://192.168.10.171/dedecms/uploads/uploads/allimg/190808
10、點擊上圖的位置,可以看到如下圖所示,說明這個是之前上傳的那個沒有返回上傳地址一句話木馬
11、菜刀連接
四、漏洞防禦
1、 在伺服器端使用”白名單”的方式檢查上傳文件的類型
2、 強制將所上傳的圖片的後綴修改”.jpg”,”.png”,”.gif”等格式
3、 升級版本