eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

dedecms 5.7通殺 SSRF+XSS注入漏洞

         

         從dedecms官網可以看出dedecms發佈的安全漏洞補丁,更新日期為V5.7SP2正式版
 
(2017-04-05),下載最新版的程序到我們本地,然後人工進行詳細的網站安全審計,對其
 
詳細的安全檢測發現dedecms 5.7版本存在高危漏洞,其包含了幾個跨站請求偽造漏洞,一
 
個xss跨站漏洞,由於時間關係,只看了其中的管理目錄dede/tpl.php以及
 
plus/carbuyaction.php這兩個文件之間寫的代碼與邏輯安全問題。
 

 
下面開始我們的網站安全代碼的審計,下載V5.7 SP2版本,考慮到只需要對一些改動的代
 
碼進行分析,就可以快速找到漏洞,我們只下載這個Beyond Compare來對比程序代碼之間
 
的不同之處。eSafe白帽資安網公司是一家專注於:主機安全、網站安全、網站安全檢測、網站漏

洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。
 
 
首先發現是XSS跨站漏洞:
 
查看plus/carbuyaction.php的代碼,通過代碼之間的對比發現,補丁文件在188行上下對
 
$address $des $postname $email四個聲明變量中同時嵌入了一個RemoveXSS函數,從函數
 
名可看出顯然其是一個過濾xss跨站攻擊的函數。如圖1:
 
 
 
在全部程序文件裡進行搜索,發現在 /include/helpers/filter.helper.php文件的 65行
 
處有定義,通過dedecms官方的註釋部分和相關代碼,我們可以看到的是這個函數確實一個
 
過濾xss攻擊的函數。在未過濾的情況下,$address直接帶入了sql語句,進入了數據庫。
 
而又由於相關頁面在讀取訂單輸出到頁面時未經過濾,造成了xss。
 
 
CSRF跨站請求偽造漏洞
 
漏洞存在於/dede/tpl.php這個文件,並沒有對管理員的操作進行安全驗證token,以及GET 
 
POST請求方式上不去分辨,導致以GET請求方式訪問,可直接對模板文件進行控制,補丁文
 
件對照:補丁文件在911行和251行附近增加了相關的token驗證。沒有驗證,我們就可以刪
 
除任意templets文件夾下的文件,也可以在該文件夾及其子文件夾下創建任意模板文件,
 
但是文件必須都是htm格式的才能刪除。eSafe白帽資安網公司是一家專注於:主機安全、網站安全、

網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。

 


 
如何利用dedecms漏洞呢?
 
織夢XSS跨站漏洞:
 
        漏洞條件:商品在出售,會員註冊並能登陸
 
        測試:登陸賬號,打開商品頁,例如
 
http://esafe.tw.com/dedecms/plus/view.php?aid=8,然後加入購物車,下單,貨到付款
 
。地址填 上海<script>alert(esafe)</script> ,當管理員點開商品交易的詳情頁時觸發
        漏洞展現如下圖:
 
 
 
織夢CSRF漏洞 EXP如下:
EXP1:http://esafe.tw.com/dedecms/dede/tpl.php?
 
action=saveedit&acdir=default&filename=aaaaa.htm&content=<?php  echo esafe; ?
 
>&B1=++%B1%A3+%B4%E6++
 
也可以URL縮短有http://url.cn/esafe.tw,再去友情鏈接圖片處添加鏈接,如
 
http://esafe.tw.com/dedecms/plus/flink_add.php,當管理員審核友情鏈接時就會觸發
 
漏洞。
 
織夢漏洞復現如下圖:
 

 
另外,如果主機的環境是IIS6的話,模板利用CSRF創建一個esafe.php;.htm文件即可
 
getshell拿權限,如果後台開啟了動態瀏覽,也有利用CSRF來getshell的可能。
 
分享: