雖然是復現文章,不過會更詳細地來闡釋這個漏洞,,因為現在后臺getshell花樣層出不窮,因此想要復現一波來學習一波getshell姿勢~
因為是最新的dedecms版本,因此我們直接在織夢官網上下載即可~
http://www.dedecms.com/products/dedecms/downloads/
DedeCMS V5.7 SP2正式版
發布日期: 2017-04-05
這里我測試的是utf-8版本��,����,感覺版本這個無所謂~
下載下來然后安裝什么的就不說了,,直接進后臺�����,找到漏洞功能以及對應的功能函數
漏洞在”模塊”下的”廣告管理”處��,這里我們點擊“添加一個新廣告”
跟原文復現的有一點不一樣,���,不過不影響,�,下面我們來抓包看看參數
我們的參數在normbody里�,文件為dede/ad_add.php
$query = " INSERT INTO xiuzhanwang_myad(clsid,typeid,tagname,adname,timeset,starttime,endtime,normbody,expbody) VALUES('$clsid','$typeid','$tagname','$adname','$timeset','$starttime','$endtime','$normbody','$expbody'); "; $dsql->ExecuteNoneQuery($query); ShowMsg("成功增加一個廣告����!","ad_main.php"); exit(); |
在這里我們看到了我們的代碼已經插入到了數據庫,��,一般的思路應該是找哪些php文件調用了這個廣告代碼���,但是點擊我們的廣告代碼就出現了地址���。
$cacheFile = DEDEDATA.'/cache/myad-'.$aid.'.htm'; if( isset($nocache) || !file_exists($cacheFile) || time() - filemtime($cacheFile) > $cfg_puccache_time ) { $row = $dsql->GetOne("SELECT * FROM `xiuzhanwang_myad` WHERE aid='$aid' "); $adbody = ''; if($row['timeset']==0) { $adbody = $row['normbody']; } else { $ntime = time(); if($ntime > $row['endtime'] || $ntime < $row['starttime']) { $adbody = $row['expbody']; } else { $adbody = $row['normbody']; } } $adbody = str_replace('"', '/"',$adbody); $adbody = str_replace("/r", "//r",$adbody); $adbody = str_replace("/n", "//n",$adbody); $adbody = "<!--/r/ndocument.write(/"{$adbody}/");/r/n-->/r/n"; $fp = fopen($cacheFile, 'w'); fwrite($fp, $adbody); fclose($fp); } include $cacheFile; |
這里首先是三個判斷條件�,nocache不為空,cachefile不為空����,這些判斷條件我們都可以通過GET或者POST來提交��,從而進行偽造~
進入判斷條件后往下走,首先是從數據庫中select aid���,那么這時候我們到數據庫中去看看:
這里當時在填寫廣告信息的時候,設置的timeset為0�����,因此也就直接令$adbody = $row[‘normbody’];
而這里的normbody也就是我們的evil code���,下面我們就應該重點看這個adbody參數
首先進行三個replace�����,這里的replace好像對我們的參數沒有影響,因此直接跳過~
接著將adbody參數插入到document.write()代碼中,這里如果做過ctf的人都應該有一種感覺�,那就是參數閉合的話���,將會造成任意代碼執行�����,這里也就是漏洞的成因所在!
最后打開cachefile,將adbody寫入到文件中~
這里由于這個文件是html靜態文件,,因此沒有可利用點��,��,還是找下文件吧��,,
WWW/uploads/data/cache/myad-3.html
如果是動態文件,�,因此我們也可以利用前后閉合來實現任意代碼���,�����,扯遠了���。��。
總結來說其實就是$adbody = “<!
主站蜘蛛池模板:
成人毛片100免费观看
|
5xx免费看
|
国产乱淫a∨片免费视频
|
免费人成在线播放
|
国产一区二区视频在线播放
|
九九久久视频
|
日本在线观看高清完整版
|
av在线成人|
中文字幕免费一区
|
桥本有菜免费av一区二区三区
|
亚洲日本高清
|
国产亚洲欧美在线视频
|
免费专区 - 91爱爱
|
在线a毛片|
欧美ab|
毛片天天看
|
色视频一区二区
|
久久宗合色
|
成人在线免费小视频
|
国产激情视频在线
|
干色视频|
久久精品视频黄色
|
在线观看av国产一区二区
|
大胆在线日本aⅴ免费视频
美国黄色毛片女人性生活片
|
爱高潮www亚洲精品
国产精品一区自拍
|
黄色网址在线视频
|
国产精品亚洲综合
|
中文字幕亚洲一区二区三区
|
偿还的影视高清在线观看
|
91九色视频在线播放
|
国产精品中文在线
|
久久综合一区
|
久久久久久久久久91
|
黄色aaa视频|
精品一区二区在线观看视频
|
久久久久国产一区二区三区不卡
|
成人性生活视频在线播放
|
久久久www成人免费毛片
|
日韩电影一区二区三区
|
欧美高清第一页
|
成年免费视频黄网站在线观看
|
