Dedecms 最新通杀注入分析

/*
* by phithon
* http://www.leavesongs.com & http://xdsec.org
*/

最近两天,乌云提交了两个Dedecms,闹得沸沸扬扬,织梦今天发布了补丁,于是就去下载回来对比补丁,下面来分析下其中的一个注入。
首先对比下补丁,发现修改了几个文件,其中的\include\uploadsafe.inc.php修改代码

也就是说这里的str_replace替换可能就是注入的关键!但是$_FILES[$_key][‘tmp_name’]是php系统生成的随机变量,默认不可控。
看到/include/common.inc.php的一段代码:

只要变量名不含cfg_|GLOBALS|_GET|_POST|_COOKIE就行了,利用上面的代码可以覆盖$_FILES,
同时利用这句代码:

就可以覆盖任意变量了,结合str_replace的替换,就可以带入单引号了。可以引入单引号,注入就一堆了,看到plus/recommend.php的一段代码:

利用上面分析的漏洞,最终构造的exp为:

获取的另外一枚

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录