dedecms任意命令执行漏洞0day

Posted 2022-02-09 yu22x

dedecms 任意命令执行漏洞

一、漏洞简介

dedecms后台存在任意命令执行漏洞（已提交cnvd并归档，官方2022.1.12发布补丁，目前新版本已修改，上个版本可以通过链接下载 ，提取码:ikom ）

二、漏洞影响

dedecms5.7.85

三、复现过程

漏洞分析

漏洞位置：plus/mytag_js.php
可以看到在文件写入之后，可以通过一些方式直接文件包含。这样的话我们就不必关心文件名（当然文件名是固定htm后缀的）而只需要关心文件写入时传的myvalues是什么内容即可。

往上看可以发现是通过一个查询得到的，而这个查询具体的语句是什么呢？我们接着往上看。


可以看到具体的查询语句是

SELECT * FROM `#@__mytag` WHERE aid='$aid'

那么有查询很有可能有插入的功能，全局搜索表名。

找到了具体的查询语句，但我们发现没有aid这个列名，那么他肯定是自增的了。

访问该页面得到具体的插入界面。我们试着插入如下数据。

接着打印一下$pv->GetResult()的结果，在此之前我们为了不die掉需要传人一个arcID和nocache

这个具体的aid号我们也是可以看到的。


输入完之后发现回显的是f，也就是我们返回的内容是我们插入时传的”正常显示内容“。
最后我们整理一下思路。
1、首先插入一个tag，在“正常显示内容”处传入我们要执行的php代码。
2、通过file_put_contents写入文件。
3、通过include包含文件。

利用过程

1、访问dede/mytag_main.php插入一个标记。

保存成功后记住对应的编号。

2、访问/plus/mytag_js.php?arcID=6&nocache=1 （其中的6为tag的编号）来生成文件。
3、访问/plus/mytag_js.php?arcID=6来包含文件。

成功执行了exec(‘calc’);
我们可以来看下生成的文件内容。

会被包裹在一些字符串中，但是在include的时候不影响php代码的解析。

二、漏洞影响

dedecms5.7.85

三、复现过程

漏洞分析

漏洞位置：plus/mytag_js.php
可以看到在文件写入之后，可以通过一些方式直接文件包含。这样的话我们就不必关心文件名（当然文件名是固定htm后缀的）而只需要关心文件写入时传的myvalues是什么内容即可。

往上看可以发现是通过一个查询得到的，而这个查询具体的语句是什么呢？我们接着往上看。


可以看到具体的查询语句是

SELECT * FROM `#@__mytag` WHERE aid='$aid'

那么有查询很有可能有插入的功能，全局搜索表名。

找到了具体的查询语句，但我们发现没有aid这个列名，那么他肯定是自增的了。

访问该页面得到具体的插入界面。我们试着插入如下数据。

接着打印一下$pv->GetResult()的结果，在此之前我们为了不die掉需要传人一个arcID和nocache

这个具体的aid号我们也是可以看到的。


输入完之后发现回显的是f，也就是我们返回的内容是我们插入时传的”正常显示内容“。
最后我们整理一下思路。
1、首先插入一个tag，在“正常显示内容”处传入我们要执行的php代码。
2、通过file_put_contents写入文件。
3、通过include包含文件。

利用过程

1、访问dede/mytag_main.php插入一个标记。

保存成功后记住对应的编号。

2、访问/plus/mytag_js.php?arcID=6&nocache=1 （其中的6为tag的编号）来生成文件。
3、访问/plus/mytag_js.php?arcID=6来包含文件。

成功执行了exec(‘calc’);
我们可以来看下生成的文件内容。

会被包裹在一些字符串中，但是在include的时候不影响php代码的解析。