Dedecms_V5.7 getshell 使用后台文件上传功效毛病

虽然是复现文章，不外会更详细地来阐释这个毛病，，由于现在后台getshell名堂层出不穷，因此想要复现一波来学习一波getshell姿势~

由于是最新的dedecms版本，因此我们直接在织梦官网上下载即可~

http://www.dedecms.com/products/dedecms/downloads/

DedeCMS V5.7 SP2正式版

公布日期： 2017-04-05

这里我测试的是utf-8版本，，感受版本这个无所谓~

下载下来然后安装什么的就不说了，，直接进后台，找到毛病功效以及对应的功效函数

毛病在”模块”下的”广告管理”处，这里我们点击“添加一个新广告”

跟原文复现的有一点纷歧样，，不外不影响，，下面我们来抓包看看参数

我们的参数在normbody里，文件为dede/ad_add.php

在这里我们看到了我们的代码已经插入到了数据库，，一样平常的思绪应该是找哪些php文件挪用了这个广告代码，可是点击我们的广告代码就泛起了地址。

这里首先是三个判断条件，nocache不为空，cachefile不为空，这些判断条件我们都可以通过GET或者POST来提交，从而举行伪造~

进入判断条件后往下走，首先是从数据库中select aid，那么这时间我们到数据库中去看看：

这里其时在填写广告信息的时间，设置的timeset为0，因此也就直接令$adbody = $row[‘normbody’];

而这里的normbody也就是我们的evil code，下面我们就应该重点看这个adbody参数

首先举行三个replace，这里的replace似乎对我们的参数没有影响，因此直接跳过~

接着将adbody参数插入到document.write()代码中，这里若是做过ctf的人都应该有一种感受，那就是参数闭合的话，将会造成恣意代码执行，这里也就是毛病的成因所在！

最后打开cachefile，将adbody写入到文件中~

这里由于这个文件是html静态文件，，因此没有可使用点，，仍是找下文件吧，，

WWW\uploads\data\cache\myad-3.html

若是是动态文件，，因此我们也可以使用前后闭合来实现恣意代码，，扯远了。。

总结来说实在就是$adbody = “\r\n”; 这段代码出的问题

下面我们来结构参数举行poc验证~

首先是会见给的广告链接

这里我还没输入参数，，下面输入参数逐步举行循环~

实在也就是两个判断条件和一个代码的执行~

这里url不用说，，就是给的广告链接，，其中GET了aid参数，，因此我们只要加上nocache参数，来实现isset($nocache)，至于!file_exists($cacheFile)这个适才文件都找到了，，一定存在的。。

最后就是就是代码执行，，这里一最先有强迫症，我一定要闭合参数！（下面就是闭合问题的一个实验）

这里一最先很不解，，这泛起的是啥？

“); –>

这是源码，，我们插入了–>这段，，可是双引号没闭合啊！也就是页面语句现实成了下面这样

“); –>

因此也就泛起了上面的情形，，这里不太明白，，这样不闭合竟然可以。。

可是我有强迫症。。

最后强行闭合。。虽然对效果没影响。。

上述若有不妥之处，敬请指出~