0x01 前言

啊， 今天我们又接着来来审计和复现框架漏洞啦，DedeCMS这玩意儿框架在我之前打啥鹏城杯的时候遇到过于是找了个比比kan老的版本，审计一下漏洞，也算是熟悉一下这玩意儿CMS的基本结构。

0x02 漏洞审计

织梦CMS貌似是基于文件的访问形式， 没有像极致CMS那样的路由定义，所以在功Neng对标实新潮码上还是比比kan轻巧松的...啥啥代码审计PGgyPjxhIG5hbWU9IjB4MDEg5YmN6KiAIj48L2E+PHNwYW4+PC9zcGFuPjB4MDEg5YmN6KiAPC9oMj48cD7nu6fnu63lrqHorqHlkozlpI3njrDmoYbmnrbmvI/mtJ7kuobvvIxEZWRlQ01T5qGG5p625Zyo5oiR5LmL5YmN5omT6bmP5Z+O5p2v55qE5pe25YCZ6YGH5Yiw6L+H77yM5Lq...

common.inc.php 琢磨

common.inc.phpZuo了hen许多程序的初始化干活，代码审计时需要沉点关注程序处理GPC这些个外部数据的方式。DedeCMS目前Zui新鲜版是dedecms v5.7sp2，再说说geng新鲜时候巨大概为2018年。对dedecms全局琢磨时 先说说选择了根目录下的index.php，磨蹭磨蹭琢磨会找到，dedecms是一个许多入口文件的形式，不过个个入口文件的流程dou巨大致相同。

漏洞代码琢磨

漏洞代码琢磨:/dedecms/member/resetpassword.php.这是dedecms比比kan出名的一个漏洞， 此漏洞位于会员中心——修改密码，这里需要注意的是,dedecms...

漏洞琢磨

在文件menber/index.php中，找到这么一段代码.订阅管理DedeCMS---任意前台用户登录 漏洞触发点在include/memberlogin.class.php中的MemberLogin类中的登录校验函数 Nengkan到M_ID参数是由GetNum)赋值的。 之后通过intval函数对M_ID进行整数转换便没有再进行随便哪个处理和过滤，然后通过SQL语句Select * From '#@__member' where mid='{$this-M_ID}'查询来判断用户的身份。 所以呢我们跟进GetCoo...

漏洞详情

它就是在2013年5月初被公布的dedecms评论二次注入漏洞， 不过当时还有一个非常精彩的60个字符长远度管束突破，稍后我们在案例里面琢磨这玩意儿漏洞的来龙去脉。.需要先构造优良利用代码写入网站保存，在第二次或许多次求后调用打代码触发或者修改配置触发的漏洞叫Zuo二次漏洞。

代码审计-任意文件名修改拿shell

漏洞琢磨 0x01 漏洞琢磨 漏洞文件: dede/file_manage_control.php ， $fmdo开头时赋值，所以我们Neng使fmdo=rename ，使其进入 if语句，调用 FileManagement 对象的 RenameFile 方法，跟进 RenameFile 方法。 关于这里的$fmdo变量，我们Neng找找这玩意儿变量怎么来的 Ok那这里晓得这玩意儿$fmdo变量是Neng我们传递控制得到。 那我们跟进这玩意儿RenameFile函数 RenameFile函数位于/de/de/file_class.php: kan到 $oldname 和 $newname 直接拼接生成， 没有对文件名进行过滤，直接弄得漏洞发生...

潜在平安隐患

在 DedeCMS 的代码中，我们找到几处潜在的平安隐患:

• 存在 SQL 注入漏洞，打者Neng利用这一漏洞获取数据库中的敏感信息。
• 存在跨站脚本 漏洞，打者Neng注入恶意代码，劫持用户的会话。
• 存在文件包含漏洞，打者Neng利用这一漏洞读取服务器上的敏感文件。

代码块琢磨

在文件\de\deCMS-V5.7-UTF8-SP2\uploads\member\index.php中的第125-166行中的代码块， 用于geng新鲜Zui近访客记录及站点统计记录的代码，当满足$vtime - $last_vtime 3600 || !preg_match的时候且$last_vid的值为空的时候，会令....而在文件\de\deCMS-V5.7-UTF8-SP2\uploads\include\helperts\cookie.helper.php中的第54-75行中找到GetCookie方法的代码块，其中第65行用于校验客户端cookie是不是进行了伪造，所以呢要进行cookie就天然...

代码施行漏洞

会找到程序直接将/data/modifytmp文件包含进来弄得我们刚刚注入的代码被施行了。会找到程序直接将/data/modifytmp文件包含进来弄得我们刚刚注入的代码被施行了。;) 第二处getshell: 这一处漏洞入口在stepselect_main.php文件中。我们进入到$action=’addenum_save’添加枚举类的处理语句中,$ename和$egroupdou是我们Neng控制的， 而且程序在运行时会先判断de_sys_enum表中是不是存在egroup...

结论

DedeCMS存在一些平安隐患，需要我们仔细审查和修优良。通过代码审计，我们找到并修优良几处关键的漏洞，搞优良系统的平安性。但这并不意味着系统就变得100%平安，我们需要持续关注和改进，确保系统的平安性Neng够满足业务需求。

修优良觉得Neng

针对以上找到的漏洞， 我们提出以下修优良觉得Neng:

• 对用户输入进行严格的过滤和验证，避免 SQL 注入和 XSS 打。
• 管束文件包含功Neng的用范围，仅允许包含少许不了的文件。
• 及时geng新鲜系统，修优良Yi知的平安漏洞。
• 对关键功Neng实施访问控制，别让未授权的操作。

跟着复现了两个dedecms代码施行的cve， 以一个新鲜手的视角沉新鲜审视这些个代码，希望文章Neng帮像我这样入门审计不久的表哥们。作为一个审计细小白， kan过后懵懵懂懂，一次偶然网上冲浪kan到mochazz师傅在blog发的审计项目，十分有感触。

---