0x00 背景
深信服公众号前几天发了Dedecms未授权RCE的漏洞通告。地址是这个: 【漏洞通告】DedeCMS未授权远程命令执行漏洞
看内容描述,
影响范围 : 正式版:< v5.7.8(仅SQL注入),内测版:= v5.8.1_beta
这篇推送好像更新过,括号里的”(仅SQL注入)”我原来是没看到的,如果没记错的话。
由于没给poc,网上也搜不到啥相关详情,仔细看了下描述。
该漏洞是由于DedeCMS存在变量覆盖漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意代码配合模板文件包含功能造成远程命令执行攻击,最终获取服务器最高权限。
起因是变量覆盖,然后利用变量覆盖进行恶意操作。
0x01 审计代码
这是dedecms在github的地址: https://github.com/dedecms/DedeCMS
在releases的tag里,我们找到6.8.1 beta下载下来。
https://github.com/dedecms/DedeCMS/releases/tag/v5.8.1
既然是变量覆盖,使用IDE搜索关键字 “$$”,可以找到有这几处:
dede/module_make.php
- inclue/common.inc.php
dede是管理员后台的目录,自然不是。至于inclue/common.inc.php
,主要代码如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
| function CheckRequest(&$val) { if (is_array($val)) { foreach ($val as $_k => $_v) { if ($_k == 'nvarname') { continue; }
CheckRequest($_k); CheckRequest($val[$_k]); } } else { if (strlen($val) > 0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#', $val)) { exit('Request var not allow!'); } } }
//var_dump($_REQUEST);exit; CheckRequest($_REQUEST); CheckRequest($_COOKIE);
foreach (array('_GET', '_POST', '_COOKIE') as $_request) { foreach ($$_request as $_k => $_v) { if ($_k == 'nvarname') { ${$_k} = $_v; } else { ${$_k} = _RunMagicQuotes($_v); }
} }
|
可以看到主要功能就是将用户请求里的变量进行一个转化,但是这里哟一个CheckRequest函数,不知道是否做了安全防护。
虽然这里有变量覆盖,但是有个很头疼的问题,这个文件几乎被所有控制路由包含了,那么触发点在哪呢?…..还是相当于大海捞针。
也就是说,单单靠这个漏洞通告里的内容,是很难准确找到洞的。
dedecms在github有地址,那看他更新了啥不就好了?
一开始我也是这么想的,但是一看…..更新了两千多个文件….基本等于所有文件都更新了,就是怕你发现端倪…好套路啊…..
0x02 朋友找的POC

这是flink.php的主要内容,
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
| if ($dopost == 'save') { $validate = isset($validate) ? strtolower(trim($validate)) : ''; $svali = GetCkVdValue(); if ($validate == '' || $validate != $svali) { ShowMsg('验证码不正确!', '-1'); exit(); } $msg = RemoveXSS(dede_htmlspecialchars($msg)); $email = RemoveXSS(dede_htmlspecialchars($email)); $webname = RemoveXSS(dede_htmlspecialchars($webname)); $url = RemoveXSS(dede_htmlspecialchars($url)); $logo = RemoveXSS(dede_htmlspecialchars($logo)); $typeid = intval($typeid); $dtime = time(); $query = "INSERT INTO `#@__flink`(sortrank,url,webname,logo,msg,email,typeid,dtime,ischeck) VALUES('50','$url','$webname','$logo','$msg','$email','$typeid','$dtime','0')"; $dsql->ExecuteNoneQuery($query); ShowMsg('成功增加一个链接,但需要审核后才能显示!', '-1', 1); }
|
简单查看了下,最后锁定关键函数——ShowMsg。位于include/common.func.php文件。
再看POC的输出点,
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| if (preg_match('/close::/', $gourl)) { $tgobj = trim(preg_replace('/close::/', '', $gourl)); $gourl = 'javascript:;'; $func .= "window.parent.document.getElementById('{$tgobj}').style.display='none';\r\n"; }
$func .= "var pgo=0; function JumpUrl(){ if(pgo==0){ location='$gourl'; pgo=1; } }\r\n"; $rmsg = $func; $rmsg .= "document.write(\"<div style='height:130px;font-size:10pt;background:#ffffff'><br />\");\r\n"; $rmsg .= "document.write(\"" . str_replace("\"", "“", $msg) . "\");\r\n"; $rmsg .= "document.write(\"";
|
上面是ShowMsg的关键代码,似乎是一个代码拼接的过程,$gourl是可疑变量,回溯这个变量的赋值。
1 2 3 4 5 6 7 8 9
| if (empty($GLOBALS['cfg_plus_dir'])) { $GLOBALS['cfg_plus_dir'] = '..'; } if ($gourl == -1) { $gourl = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''; if ($gourl == "") { $gourl = -1; } }
|
这个变量是用户可控的。
所以…..变量覆盖在哪……无语….

0x03 官方修复

将$gourl的赋值进行了删除。并去掉了模板渲染,改成echo。

我对这个洞的影响范围表示好奇,下载了5.7的源码,发现并没有这个问题,只影响 v5.8.1_beta,颇有一股官方投毒的意思,再想起织梦今天官方的通告——《关于提醒办理DEDECMS产品商业使用授权的通告》。
细思恐极。
0x04 由点及面,尝试挖掘其他漏洞
从showmsg入手
再回到ShowMsg触发那里,也就是说,当如下代码,$msg是可控时,LoadString就是一个危险函数。
1 2 3 4
| $tpl = new DedeTemplate(); $tpl->LoadString($msg); $tpl->Display();
|
再进入LoadString,发现变量$str赋值给sourceString,
1 2 3 4 5 6 7 8
| public function LoadString($str = '') { $this->sourceString = $str; $hashcode = md5($this->sourceString); $this->cacheFile = $this->cacheDir . "/string_" . $hashcode . ".inc"; $this->configFile = $this->cacheDir . "/string_" . $hashcode . "_config.inc"; $this->ParseTemplate(); }
|
通过IDE查找 sourceString赋值。

未果。
从项目整体入手
plus目录是外部不用登录就可以访问的。逐一审计。
发现一些问题,但是利用有限。
后台shell, /plus/ad_js.php包含文件
从数据库里取出来,然后写文件。
如果能进后台,就能利用这里。


0x05 最后
这个项目代码比较混乱,没啥价值,除了国内用的站点比较多外。那个模板的处理流程可以深究一下,看起来有点繁琐。先这样吧。