0x01 漏洞概述

Desdev DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上傳漏洞，遠(yuǎn)程攻擊者可利用該漏洞上傳并執(zhí)行任意PHP代碼。

最新的DEDECMS系統(tǒng)存在前臺(tái)文件上傳漏洞，需要管理員打開會(huì)員中心，訪問鏈接：http://127.0.0.1/dedecms/uploads/member/content_list.php?channelid=1

0x02 復(fù)現(xiàn)步驟

首先，進(jìn)入會(huì)員中心，必須是管理員的權(quán)限，因?yàn)楹竺嫔蟼魑募�有�?quán)限限制。進(jìn)入會(huì)員中心后進(jìn)入內(nèi)容中心模塊，然后發(fā)布一個(gè)文章。點(diǎn)擊下面的編輯器的上傳圖片按鈕。

點(diǎn)擊上傳，選擇準(zhǔn)備好的一句話圖片木馬文件

再用burp工具抓包，將1.jpg改為1.jpg.p*hp

后重新請(qǐng)求發(fā)送數(shù)據(jù)包，成功的getshell了，并返回了木馬地址。

用中國菜刀連接看看，成功連接

0x03 漏洞分析

在includedialogselect_images_post.php中的36行，過濾了一些看起來不正常(異常)

的字符。

同時(shí)，在38行處判斷了文件名是否包含了$cfg_imgtype的字符。

從而可以判斷，不僅僅只有*可以繞過，% ？ <> :都是可以繞過的。

舉例：% ?繞過截圖

推薦D盾—WEB查看工具：

軟件使用自行研發(fā)不分?jǐn)U展名的代碼分析引擎，能分析更為隱藏的WebShell后門行為。

引擎特別針對(duì),一句話后門，變量函數(shù)后門，${}執(zhí)行 ，`執(zhí)行，

preg_replace執(zhí)行,call_user_func,file_put_contents,fputs 等特殊函數(shù)

的參數(shù)進(jìn)行針對(duì)性的識(shí)別，能查殺更為隱藏的后門，

并把可疑的參數(shù)信息展現(xiàn)在你面前，讓你能更快速的了解后門的情況

新版特別針對(duì) dedecms 的{dede:php}{/dede:php}代碼加入了識(shí)別！

軟件加入隔離功能，并且可以還原！

如有不能識(shí)別的webshell請(qǐng)使用上傳樣本功能上傳給我們，我們將后期加入識(shí)別!

下載：http://www.d99net.net/down/WebShellKill_V1.4.1.zip