该问题是一个由任意文件上传带来的代码执行漏洞,由于本身要求上传php结尾文件,再加上未对上传文件内容进行检查,所以导致了该漏洞,漏洞产生在/dede/tpl.php,由此可见要利用该漏洞你得登录进后台。问题产生在代码251行开始。代码详解如下图
漏洞复现:
-
前提是你得通过其他方法进入到dede的后台,比如弱口令啥的。
-
然后由上述图片中csrf_check()函数会校验token,所以我们得先获取到token。
-
要怎么才能获取到token呢?我们再去tpl.php里看一下,发现action的参数有很多,比如del,upoladok,edit,upload等等,但只有传入upload的时候页面才会回显正常,而其他的都会显示token异常,所以只能通过action=upload来获取token。
-
访问连接http://你的ip/dede/tpl.php?action=upload,右键点击查看页面源码,可以看到token
-
拼接payload
http://你的ip/dede/tpl.php?filename=(文件名随意).lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=(替换你复制的token)
-
访问上传的php脚本,由上面代码审计得知上传到的路径是/include/taglib/xxx.lib.php,访问该文件。getshell?
?