DedeCMS V5.7 SP2 后台GetShell漏洞分析与利用<\/h1>

漏洞概述<\/h2>
DedeCMS V5.7 SP2版本存在一个后台GetShell漏洞，该漏洞源于系统在处理ZIP压缩包解压时对文件名校验不严格，导致攻击者可以通过构造特殊文件名的ZIP压缩包上传并解压PHP文件，从而获取服务器控制权限。<\/p>

受影响版本<\/h2>

DedeCMS V5.7 UTF8 SP2<\/li>

下载链接: http:\/\/updatenew.dedecms.com\/base-v57\/package\/DedeCMS-V5.7-UTF8-SP2.tar.gz<\/li> <\/ul>

漏洞利用步骤<\/h2>

1. 构造恶意文件<\/h3>

创建一个名为1.jpg.php<\/code>的文件<\/li>
文件内容为: <?php phpinfo();?><\/code><\/li>

将该文件压缩为ZIP格式<\/li>
<\/ol>
2. 上传压缩包<\/h3>

登录DedeCMS后台<\/li>
进入"常用操作" → "文件式管理器"<\/li>
上传构造好的ZIP压缩包到soft<\/code>目录下<\/li>
<\/ol>
3. 解压并利用<\/h3>

访问dede\/album_add.php<\/code><\/li>
选择"从ZIP压缩包中解压图片"功能<\/li>
发布并预览文档<\/li>
访问解压后的PHP文件执行代码<\/li>
<\/ol>
漏洞分析<\/h2>
关键代码位置<\/h3>
漏洞位于album_add.php<\/code>文件中：<\/p>
else<\/span> if<\/span>(preg_match<\/span>("\/\.("<\/span>.<\/span>$fileexp.<\/span>")\/i"<\/span>,$filename)) {
<\/span><\/span>    $filearr[] =<\/span> $truefile;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞成因<\/h3>

系统使用GetMatchFiles<\/code>函数处理ZIP压缩包中的文件<\/li>
传入的$fileexp<\/code>参数为jpg|png|gif<\/code><\/li>
正则匹配仅检查文件名中是否包含图片扩展名(jpg<\/code>, png<\/code>, gif<\/code>)，而不验证文件实际扩展名<\/li>
因此1.jpg.php<\/code>这样的文件名可以通过验证，因为包含.jpg<\/code><\/li>
解压后保留.php<\/code>扩展名，导致PHP代码可执行<\/li>
<\/ol>
修复建议<\/h2>

严格验证文件扩展名，确保文件实际扩展名与允许的扩展名一致<\/li>
使用pathinfo()<\/code>函数获取文件真实扩展名进行验证<\/li>
禁止解压包含PHP等可执行文件类型的压缩包<\/li>
更新到最新版本DedeCMS<\/li>
<\/ol>
补充说明<\/h2>

该漏洞需要后台权限才能利用<\/li>
实际利用时可构造更复杂的WebShell代码<\/li>
漏洞利用成功后可通过PHP函数获取服务器完全控制权限<\/li>
<\/ol>
参考<\/h2>

原始漏洞报告者: xiaohuihui1<\/li>
报告时间: 2019-02-26<\/li>
漏洞类型: 文件上传绕过导致代码执行<\/li>
<\/ul>

DedeCMS V5.7 SP2 后台GetShell漏洞分析与利用<\/h1>

漏洞概述<\/h2> DedeCMS V5.7 SP2版本存在一个后台GetShell漏洞，该漏洞源于系统在处理ZIP压缩包解压时对文件名校验不严格，导致攻击者可以通过构造特殊文件名的ZIP压缩包上传并解压PHP文件，从而获取服务器控制权限。<\/p>

漏洞利用步骤<\/h2>

漏洞分析<\/h2>

参考<\/h2> 原始漏洞报告者: xiaohuihui1<\/li> 报告时间: 2019-02-26<\/li> 漏洞类型: 文件上传绕过导致代码执行<\/li> <\/ul>

漏洞概述<\/h2>
DedeCMS V5.7 SP2版本存在一个后台GetShell漏洞，该漏洞源于系统在处理ZIP压缩包解压时对文件名校验不严格，导致攻击者可以通过构造特殊文件名的ZIP压缩包上传并解压PHP文件，从而获取服务器控制权限。<\/p>

参考<\/h2>

原始漏洞报告者: xiaohuihui1<\/li>
报告时间: 2019-02-26<\/li>
漏洞类型: 文件上传绕过导致代码执行<\/li> <\/ul>