Dedecms 5.7 SP2后台getshell "努力学习才能走上人生巅峰" ——周树人 前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下...该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/ 复现 版本: ?...* @license http://help.dedecms.com/usersguide/license.html * @link http://www.dedecms.com...include $cacheFile;//把刚刚构造的静态html文件包含进来,这就导致html文件中的php代码可执行 现在我们首先要满足if条件判断,由于是或运算,只要满足一个就行了,这里我们可以直接利用...dedecms的变量注册的特性(这里不太清楚,大概是这个原因,不太熟悉),直接传入一个nocache变量,直接满足if判断,这样我们的恶意代码就写进了下面这个文件里: ?
影响范围 DedeCMS v5.7 SP2 利用条件 登陆后台(有点鸡肋,但是可以结合DedeCMS的其他漏洞进行利用) 漏洞概述 DedeCMS v5.7 SP2后台允许编辑模板页面,通过测试发现攻击者在登陆后台的前提条件下可以通过在模板中插入恶意的具备...dedecms模板格式且带有runphp="yes"标签的代码实现模板注入,并且可由此实现RCE与Getshell 漏洞分析 在漏洞利用过程中我们选择的模板页面未网站首页,下面以加载模板首页为例进行正向分析...False: PS:由于这里代码较多就直接贴代码了,截图无法放下~ /** * 检测模板缓存 * * @access public * @param...下面我们回到正题,继续来看后续的index.php文件逻辑,由于此时的$row['showmod']默认为"0",所以直接进入到else语句中调用display函数: ?...SSTI漏洞很容易被忽略也很容易引起安全问题,当然,SSTI也不一定存在于后端模板编辑处,之前玩过CTF的大佬们应该都有很深刻的经历,SSTI的利用点也很多,出现在前端的也有,例如:74CMS前端SSTI到GetShell
时每一次都要修改username,password和email字段值(不能重复,汗) 我们可以看到repeater里MYSQL query成功插入,接着访问上图repeater里我标黄语句,执行一句话 连接菜刀,getshell
0x00 漏洞背景 2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码...但还是推荐使用DedeCMS的用户进行相关验证,并执行修复建议。 0x01 漏洞详情 include/dialog/config.php 在dialog操作的时候,针对用户权限进行校验。...除了上述方式以外,还可以直接进行代码层面的修改 对于受影响的正则表达式进行强化。限定$cfg_imgtype固定结尾的文件。... $imgfile_name)) 0x03 时间线 2018-12-11 CVE中文申请站进行细节公开 2018-12-21 360CERT发布预警 0x04 参考链接 CVE-2018-20129:DedeCMS
如果你做的是个人站点,如果数据不是很大,那么dedecms依然是首选,dedecms在20w数据就会反应迟钝,有过技术文章分析的,dedecms的数据表频繁查询,导致性能不过关,但是首选你的站有多大?...网易的一个模块用的也是dedecms,具体忘记了,但是我见过!...下面我从几个方面比较一下: seo: dedecms>phpcms>ecms 负载: phpcms>ecms>dedecms 门户站: phpcms>ecms>dedecms 专业站: ecms>...dedecms>phpcms 易用性:dedecms>phpcms>ecms 扩展性:ecms>phpcms>dedecms 安全性:ecms>dedecms>phpcms 稳定性: ecms>...dedecms>phpcms 服务(论坛支持)ecms>dedecms>phpcms 转载于:https://www.cnblogs.com/liyongfisher/archive/2010/01
验证来源去向的url跳转 文件包含 POST文件包含 HOST注入 APK破解 延时注入 DZ7.2论坛sql注入 aspcms注入 phpmyadmin任意文件包含漏洞 齐博系统SQL注入 海盗云商getshell...PHP168任意代码执行GET SHELL ecshop 注入 ShopXp系统SQL注射漏洞 Dcore(轻型CMS系统)注入漏洞 MetInfo 任意文件包含漏洞可getshell Metinfo...万众电子期刊在线阅读系统PHP和ASP最新版本通杀SQL注入 BEESCMS sql注入,无视防御 ourphp 注入 phpwind 命令执行漏洞 metinfo 任意用户密码修改 DZ 3.2 存储型XSS DedeCMS...flink.php友情链接注入 DedeCms?...recommend.php注入 BEESCMS 小于等于V4四处注入+无需密码直接进后台 海洋 x-forwarded-for注入 php截断利用 st2-016 jboss命令执行 tomcat弱口令
Dedecms Getshell ? ?...dedecms默认后台,版本DedeCMSV57_UTF8_SP1(20150618 kali中文乱码,凑合看…),这个版本注入应该,先注册用户然后可以跑出来admin的密码: ? ?...getshell比较简单,文件管理器->新建文件即可。 ? ?...因此确定ww2.target.com是站库分离的情况,并且直接是sa权限。直接aspx马连一家伙: ? 添加一下xp_cmdshell执行命令: ? ?...我选择了msf直接探测端口…比较方便,但是后面涉及到了web,所以考虑了一下还是做了ew。 ? Eternanal Blue ? FAIL… PHPstudy Getshell ?
并且穷举了子域名 www.target.com 科讯 new.target.com 织梦 ww2.target.com Grcms Dedecms Getshell dedecms默认后台,...版本DedeCMSV57_UTF8_SP1(20150618 kali中文乱码,凑合看…),这个版本注入应该,先注册用户然后可以跑出来admin的密码 getshell比较简单,文件管理器->新建文件即可...因此确定ww2.target.com是站库分离的情况,并且直接是sa权限。...我选择了msf直接探测端口…比较方便,但是后面涉及到了web,所以考虑了一下还是做了ew。...Eternanal Blue FAIL… PHPstudy Getshell 好家伙,直接试试phpstudy后门。 python .\phpstudy.py "echo ^<?
DedeCMS默认的相关文章标签调用的是本栏目的文章,而这些还不能够达到我们的目的,现 在来修改相关文章为调用整站。...likearticle.lib.php文件 找到 $typeid = And arc.typeid in($typeid) And arc.id$arcid ; 替换为 $typeid 关键词:织梦教程 DedeCMS
dedecms 在底部有个cfg_powerby 标签,在后台的 系统-》系统基本参数 那里面可以编辑cfg_powerby 这个标签,可是新版的更新后还会加一个power by dedecms
信息收集 拿到目标url云悉指纹搞一波,指纹没匹对出来,回到网站 虽然没匹对出指纹,但随便浏览个网页看到url总感觉是什么 那就谷歌一下 灵感不就来了,那么初步判断有可能是dedecms...尝试了几个dedecms的目录,均是not found 既然是开源的,那我就去找下源码,看看 看到有个robots.txt,看一眼 还真有,那就匹对一下,八九不离十,在看看member还是没有,访问都没有结果...Google搜索一下,锁定一下版本应该为5.7左右 确定了版本之后,其实我们从前面的信息(容器版本:apache2.2,存在install文件)可以大致的锁定一个漏洞----织梦远程包含漏洞 00x02 Getshell...在外网VPS创建一个文件dedecms/demodata.a.txt 具体操作如下: 1 mkdir dedecms 2 echo "">dedecms/demodata.a.txt 3 python3 -m http.server 访问如下url: http://xxx.com/photo/install/index.php.bak
可以看到我们把后缀加上.jpg后上传就把第一个点改为了(直接上传aspx的会被狗拦截,我就不放截图勒)。我们看一下他这个变.为的规则到底是怎么样的呢? ?...直接看一看源码吧,主要是这个文件:FCKeditor/editor/filemanager/connectors/asp/commands.asp 具体可以看此篇文章http://back.waitalone.cn...if流程这个时候的sFileName将是用sExtension的后缀,此时的sFileName将在下次循环中和sServerDir一起合成sFilePath,因此第二次上传的后缀是没有经过处理的,然后直接带入
0x02 获取目标服务器 1 管理员桌面的 FLAG 文件信息 获取了管理员权限,相当于完成了 getshell 的一半。...随便搜搜可发现许多用于齐博 CMS getshell 的漏洞,下面选取两个文件写入漏洞进行复现。...出题人好像为了方便我们直接进行本题,特意在主站根目录下放了木马 /2.php,免去了上题插入木马的过程: ? 所以下次想直接复现第 3 题,用菜刀连上此木马即可: ?...我们在根目录下可看到 /dedecms_bak 的文件夹,进一步搜索到 DEDECMS 的默认数据库配置文件为 /data/common.inc.php,打开一看,果不其然: ?...的数据库,而 dedecms 显而易见是 DEDECMS 的。
安装之前需要准备 空间可以正常使用PHP+MYSQL 空间数据库用户名和密码 第一步:下载后解压uploads文件夹到指定的文件夹内(我这使用的www/dedecms文件夹,本例用网站目录代替) 第二步...:在地址栏输入http://您的域名/dedecms(如果你在本地测试那么就是http://localhost/dedecms/) 第三步:同意安装协议,点击继续 第四步:环境检测,如果都符合要求则点击继续...dede改为你喜欢的文件夹名字(我这里改为Admin),这样登陆后台入口就成了您的域名+安装目录+您修改的后台文件夹名字(我的为:http://localhost/dede/Admin/) 附:后续将续写dedecms
0x01 前言 FastAdmin是基于ThinkPHP5和Bootstrap的后台框架,可以利用三方插件GetShell 0x02 本地测试 FastAdmin官方源码下载地址: https://www.fastadmin.net...但是由于舍不得花十块钱买插件,所有只能用三方免费版插件,直接点击安装会需要登录账号,登录信息会记录到日志,不便于操作,所以去官方下载离线安装包 ?...然后浅显易懂,直接右键上传php文件就能getshell ? 上面是本地测试环境,真实环境会出现这样一个问题,就是点击文件管理功能不会显示任何内容 ?
dedecms漏洞组合拳拿站(渗透笔记) 前言 之前也写过几篇关于dedecms漏洞复现的文章了,光是复现也没什么意思,于是利用google hacking技巧,找到了一个使用dede的站点,正好用上了之前几篇文章里提到的所有的技术...getshell 关于dedecms后台getshell我之前也复现过了,文章链接: https://blog.csdn.net/he_and/article/details/80890664 按照文章中的方法写入一句话木马...一开始扫目录的时候还扫出来了phpmyadmin,所以我直接root账户以及随便猜的一个密码登录了一下,没想到直接就上去了,都不需要我找密码了。...想着有数据库的root账户提权应该就很简单了,直接传了一个带有mysql提权的大马上去了。 ?...mark 反正就是拿到管理员的密码了,直接登上服务器,在本地执行了一下net命令,还是不能用,那我就不用呗,我直接去账户管理里操作,创建用户没什么问题,就是到了添加管理员时,禁止访问!
环境搭建 下载DedeCMS源码放到phpstudy目录下 然后输入127.0.0.1/DedeCMS/uploads/install/index.php进行安装 进入环境检测页面 进行环境配置...漏洞复现 登录test1用户,点击内容中心 需要邮箱认证,这里因为在本地复现就直接给一个正常发文的权限即可 登入管理员后台修改为正常使用状态 再点击内容中心即可 然后准备一个一句话木马 先尝试下直接上传...;} 可以看到,直接从数据库中读取并写入php文件中,从数据库中取出后并没有经过过滤。...action=addenum_save&ename=123&egroup=;phpinfo();//&islogin=1 漏洞复现 因为包含是在同一个文件,所以直接输入 192.168.10.3/DedeCMS...action=getfiles&refiles[]=123&refiles[]=\%22;phpinfo();die();// DedeCMS 后台文件上传getshell(CVE-2019-8362
0x00 前言 来到phpmyadmin页面后如何getshell呢?...下面介绍两种方法 0x01 select into outfile直接写入 1、利用条件 对web目录需要有写权限能够使用单引号(root) 知道网站绝对路径(phpinfo/php探针/通过报错等)...>' 查看下日志,发现sql语句已经被记录到了日志中,直接用菜刀或者蚁剑连接即可 5、抹除痕迹 set global general_log_file='C:\\phpStudy\\MySQL\\data...general%' 0x03 拓展 这里有一个地方需要注意的是需要写入到绝对路径,而在php环境下有许多种得知绝对路径的方法,以下就简单拓展几种 0x03.1 phpinfo页面 这里是之前在复现帝国cms的getshell
环境搭建 下载DedeCMS源码放到phpstudy目录下 ? 然后输入127.0.0.1/DedeCMS/uploads/install/index.php进行安装 ? 进入环境检测页面 ?...需要邮箱认证,这里因为在本地复现就直接给一个正常发文的权限即可 ? 登入管理员后台修改为正常使用状态 ? 再点击内容中心即可 ? 然后准备一个一句话木马 ? 先尝试下直接上传php改type ?...Dedecms V5.7后台的两处getshell(CVE-2018-9175) 漏洞成因 后台写配置文件过滤不足导致写shell 代码分析 第一个 在/dede/sys_verifies.php中的第...漏洞复现 因为包含是在同一个文件,所以直接输入 192.168.10.3/DedeCMS/Drunkmars/sys_verifies.php?...DedeCMS 后台文件上传getshell(CVE-2019-8362) 漏洞成因 上传zip文件解压缩对于文件名过滤不周,导致getshell 代码分析 /dede/album_add.php 175
到此getshell便成功了。
领取专属 10元无门槛券
手把手带您无忧上云