Dedecms 模板编辑绕过WAF写入恶意代码分析<\/h1>

环境搭建<\/h2>

下载Dedecms源码：https:\/\/www.dedecms.com\/<\/li>

安装并进入后台管理界面（通常通过访问\/dede路径）<\/li> <\/ol>

漏洞发现过程<\/h2>

后台模板编辑功能允许直接编辑PHP文件<\/li>
尝试写入常见PHP恶意函数（如system()<\/code>、exec()<\/code>、phpinfo()<\/code>）均被拦截<\/li>

尝试使用较少见的passthru()<\/code>函数也被拦截<\/li>
<\/ol>
代码分析<\/h2>
关键防护机制<\/h3>

内容过滤机制获取并检查除注释外的所有内容<\/li>
拦截列表包括：

常见PHP恶意函数<\/li>
全局变量（如$_GET<\/code>、$_POST<\/code>）<\/li>
<\/ul>
<\/li>
<\/ol>
正则防护规则<\/h3>

第一条正则：检查文件是否含有<?php<\/code>或<?=<\/code>标签<\/li>
第二条正则：检查是否存在类似$_GET(...)<\/code>的调用<\/li>
第三条正则：检查是否存在类似$_POST(...)<\/code>的调用<\/li>
第四条正则：检查是否有反引号（命令执行符号）<\/li>
<\/ol>
绕过WAF的技术<\/h2>
方法一：字符串拼接<\/h3>

通过将函数名拆分为多个部分进行拼接<\/li>
示例：
$a =<\/span> "sys"<\/span>.<\/span>"tem"<\/span>;
<\/span><\/span>$a("whoami"<\/span>);
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
方法二：动态函数调用<\/h3>

使用变量函数调用方式<\/li>
示例：
$func =<\/span> "system"<\/span>;
<\/span><\/span>$func("whoami"<\/span>);
<\/span><\/span><\/code><\/pre>注意：此方法可能被动态调用检测拦截<\/em><\/li>
<\/ol>
方法三：CTF常用技巧<\/h3>

使用非常规的函数调用方式<\/li>
最终有效的payload示例：
\/\/ 具体payload未在原文中完整展示，但暗示使用了CTF中常见的绕过技术
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
验证漏洞利用<\/h2>

成功保存修改后的模板文件<\/li>
检查文件确认修改已写入<\/li>
通过访问相应页面验证命令执行功能<\/li>
<\/ol>
防御建议<\/h2>

限制后台模板编辑权限<\/li>
加强WAF对字符串拼接和动态调用的检测<\/li>
实施文件完整性监控<\/li>
定期更新CMS系统和安全补丁<\/li>
<\/ol>
总结<\/h2>
该漏洞利用Dedecms模板编辑功能的WAF绕过技术，通过字符串拼接和动态函数调用等方式成功注入恶意代码，实现了系统命令执行。这强调了在Web应用中不仅需要过滤明显恶意输入，还需要防范各种混淆和绕过技术的重要性。<\/p>