ToB企服应用市场:ToB评测及商务社交产业平台

标题: Dedecms V110最新版RCE---Tricks [打印本页]

---

作者: 温锦文欧普厨电及净水器总代理    时间: 2023-8-28 08:55
标题: Dedecms V110最新版RCE---Tricks
前言

刚发现Dedecms更新了发布版本，顺便测试一下之前的day有没有修复，突然想到了新的tricks去实现RCE。
文章发布的时候估计比较晚了，一直没时间写了。
利用

1. /uploads/dede/article_string_mix.php
2. /uploads/dede/article_template_rand.php
3. /uploads/dede/sys_task.php
4. ......

复制代码

我发布的文档->>>>添加文档->>>>站内选择进行文件上传

1. /uploads/dede/content_list.php](http://dedecms.xyz:8066/uploads/dede/content_list.php?mid=1)
2. /uploads/dede/catalog_do.php?channelid=0&cid=0&dopost=addArchives

复制代码

文件上传

在vps上起一个http的服务，端口设置为8016

远程服务器存放shell.php，文件内容为

1. [/code] 准备一个图片格式的文件,文件内容为，这里我上传的文件名称为f.png
2. [code]

复制代码

上传成功后可以看到上传的图片的位置

修改文件名为b.php
[img=720,186.7536704730832]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415839.png[/img]
保存发现png图片已成功被更改，访问b.php,从远程vps下载了shell.php，当前目录下存在一个名称为shell.php的木马文件
[img=720,83.48684210526316]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415840.png[/img]
[img=720,163.42105263157896]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415841.png[/img]
利用webshell进行命令执行。
[img=720,338.7192118226601]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415842.png[/img]
成功执行了命令
【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
思考

如果不考虑文件上传后缀名绕过方法，仅以上面图片格式的文件上传的话，那么无所谓上传的什么内容，因为本身来讲dede的代码中对文件内容是做的有校验的
[img=720,226.13718411552347]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415843.png[/img]
所以文件内有两种绕过方法

• 正则绕过
  
  
• disable函数绕过
  
  

简单搜索了一下各个平台的文章，其实是有师傅正则绕过实现webshell的。第二点儿，disable函数绕过，往前几个版本，有兴趣的可以看一下源码，之前利用全局变量Globals绕过

代码内容
[code][/code] [img=720,333.6434108527132]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415846.png[/img]
命令执行
http://dedecms.org:8016/uploads/shell.php?test1=assert&&test2=system(%22ipconfig%22);
[img=720,132.36923076923077]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415847.png[/img]
成功执行命令,且该命令执行为未授权命令执行。
所以在官方前几个版本中已经更新了，添加进了禁用方法
[img=720,307.953]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202308141415848.png[/img]
所以在绕过禁用方法上来讲更容易一点儿。所以在利用上这里利用了copy函数的特性，那么这里提醒一下，其它的函数当然也可以满足效果。
更多网安技能的在线实操练习，请点击这里>>
 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4