一、漏洞描述

该漏洞在/install/index.php(index.php.bak)文件中,漏洞起因是$$符号使用不当,导致变量覆盖,以至于最后引起远程文件包含漏洞。

二、漏洞影响版本

DeDeCMS < 5.7-sp1,包括5.7 sp1版本

三、漏洞环境搭建

1、下载DeDeCMS V5.7 SP1,然后放到phpstudy环境下的www目录下,然后浏览器访http://192.168.10.171/dedecms/uploads/install/index.php

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

2、点击我已阅读并继续。然后是环境检测,保存默认即可

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

3、接下来是参数配置,需要设置的只有数据库密码,把自己的密码填上去就行了

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

4、然后就把环境搭好了

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

四、漏洞复现

1、查看/install/index.php源码,发现存在变量覆盖漏洞,该代码的意思是将get,post或者cookie方式传入的值通过foreach以键值对的方式输出,例如在url中输入"text-align: center">  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

2、尝试通过变量覆盖重装网站,浏览器访问

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

3、变量覆盖后,直接进入安装界面,但是由于安装锁的存在不能继续重新安装,除非删除安装锁http://192.168.10.171/dedecms/uploads/install/index.php"text-align: center">  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

4、只有变量覆盖暂时还不够,继续浏览代码,发现最后几行代码

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

4.1、这段代码首先包含了/data/admin/config_update.php文件, 这里定义了变量updateHost

文件内容如下:

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

4.2、继续看373-387行代码,$updateHost与dedecms/demodata.{$a_lang}.txt拼接为字符串,并利用files_get_contents函数读取demodata.{$s_lang}.txt文件内容,最后将该文件内容写入到$install_demo_name参数中。

4.3、因此我们可以结合上面的变量覆盖漏洞来进行远程文件包含,直接写webshell。

5、由于$updateHost变量是引入进来的,所以不能直接进行覆盖,需要先将config_update.php文件清空再包含。

5.1、这时候可以利用fopen函数来实现,可以看到fopen中的参数是w,会直接重写文件,而file_get_contents读取文件失败会返回NULL

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.2、然后利用fwrite函数,这里可以利用变量覆盖,将$s_lang随意取名成不存在的文件名, $install_demo_name指向”../data/admin/config_update.php”,为了程序能够执行到这里,需要将$step设置为11,这样就达到了清空config_update.php的目的。

构造payload: http://192.168.10.171/dedecms/uploads/install/index.php"text-align: center">  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.3、查看代码,发现这里有一个判断文件是否存在(也就是判断网站是否安装)的条件,通过变量覆盖漏洞将$insLockfile构造成任意不存在的文件就可以绕过这个条件的限制

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.4、再次构造payload:

http://192.168.10.171/dedecms/uploads/install/index.php"text-align: center">  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.5、此时可以看到config_update.php会发现已经变为0kb,空文件

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.6、config_update.php文件内容被清空之后,这时我们就可以控制updateHost参数了,这时我们就可以开始远程文件包含上传我们想要上传的文件了

5.7、在kali上创建一个dedecms文件夹,然后创建一个demodata.gb2312.txt,写入<"text-align: center">  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.8、再次构造payload, install_demo_name改为要上传的路径,updateHost改为远程目标机的IP

Payload如下:

http://192.168.10.171/dedecms/uploads/install/index.php"text-align: center">  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

5.9、查看是否上传成功,确定上传成功

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

6、浏览器访问上传的shell.php

  DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553)

总结

以上所述是小编给大家介绍的DedeCMS 5.7 sp1远程文件包含漏洞(CVE-2015-4553),希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

标签:
DedeCMS,5.7,sp1远程文件包含漏洞,文件包含漏洞实例

免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
桃源资源网 Design By www.nqtax.com

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。