记一次dedecms5.8.1远程代码执行分析

zhaorong · 发表于 WEB前端技术 2021-10-18 16:13:39


	首先这里的原创的文章 https://xz.aliyun.com/t/10331#reply-17078 根据这个表哥的思路来分析的我们先看poc 我们定位到/plus/fink.php这个文件我们在这里下一个断点然后我们f7往下走到showMag这个函数 if ($dopost== 'save') { $validate = isset($validate) ?strtolower(trim($validate)) : ''; $svali =GetCkVdValue(); if ($validate== '' \|\| $validate!= $svali) { ShowMsg('验证码不正确!', '-1'); exit()：来到这个函数之后我们可以看到这里$gurl如果等于-1的话进行$_SERVER[‘HTTP_REFERER’] 复制给$gourl 这里没有做任何过滤直接赋值给$gourl了可以看到此时的$gourl是我们的恶意代码这里进行了字符串的拼接此时可以看到$func是包含我们的poc的我们继续往下走这里进行了一系列的拼接此时的$msg是包含我们的恶意代码的 $tpl->LoadString($msg); 我们进入LoadString这个方法这里进行了一次赋值然后我们进入到display这个方法再来到这个方法调用GetResult方法赋值给了$result 此时的$result是包含我们的恶意代码的然后我们来到 CheckDisabledFunctions 这个方法因为他对$result进行了操作所以我们跟进去这里要进行一个黑名单的绕过这里没有对双引号进行监测 php中双引号中的字符串是可以解析为函数的所以实现了一个绕过判断完之后这里进行了写入操作然后这里进行了包含执行‘