DedeCMS 后台任意代码执行漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>
本教学文档详细分析DedeCMS后台存在的两个任意文件覆盖导致代码执行的漏洞，适用于安全研究人员进行代码审计学习和漏洞复现。<\/p>

漏洞一：DedeCMS V5.7.113 任意文件覆盖导致代码执行<\/h2>

影响版本<\/h3>

DeDeCMS <=5.7.113<\/li> <\/ul>

漏洞文件<\/h3>
`\/dede\/makehtml_homepage.php<\/code><\/p>`

漏洞分析<\/h3>


漏洞触发条件：<\/p>

传入参数：dopost=make<\/code><\/li>
传入参数：showmod=1<\/code><\/li>
传入参数：templet=文件路径<\/code><\/li>
传入参数：Position=被覆盖文件路径<\/code><\/li>
<\/ul>
<\/li>

关键代码功能：<\/p>

SetTemplet()<\/code>方法将文件内容赋值给$this->SourceString<\/code><\/li>
SaveToHtml()<\/code>方法执行文件覆盖操作<\/li>
<\/ul>
<\/li>

参数限制：<\/p>

Position<\/code>参数无任何过滤<\/li>
templet<\/code>参数存在过滤，不能使用..\/<\/code>，限制在\/templets\/<\/code>目录中的文件<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h3>


上传图片马<\/strong>：<\/p>

利用系统文件管理器上传包含恶意代码的图片文件到\/templets\/<\/code>目录<\/li>
<\/ul>
<\/li>

构造POC<\/strong>：<\/p>
\/dede\/makehtml_homepage.php?dopost=make&showmod=1&templet=\/templets\/恶意图片文件&Position=..\/tags.php
<\/code><\/pre>
<\/li>

执行效果<\/strong>：<\/p>

将图片马内容覆盖到系统根目录的tags.php<\/code>文件<\/li>
通过访问tags.php<\/code>执行任意代码<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞二：DedeCMS V5.7.115 任意文件覆盖导致代码执行<\/h2>
影响版本<\/h3>

DeDeCMS <=5.7.115<\/li>
<\/ul>
漏洞文件<\/h3>
\/dede\/task_do.php<\/code><\/p>
漏洞分析<\/h3>


漏洞原理：<\/p>

读取$tpl<\/code>文件内容并写入到$homeFile<\/code><\/li>
这两个值从数据库dede_homepageset<\/code>表中获取<\/li>
<\/ul>
<\/li>

数据库更新点：<\/p>

makehtml_homepage.php<\/code>中存在SQL语句可更新表中内容<\/li>
$templet<\/code>值经过过滤（不能使用..\/<\/code>）<\/li>
$position<\/code>无任何限制<\/li>
<\/ul>
<\/li>

关键点：<\/p>

$homeFile<\/code>参数可设置为..\/1.php<\/code><\/li>
文件不存在时fopen($homeFile, 'w')<\/code>会创建新文件<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h3>


上传图片马<\/strong>：<\/p>

上传包含恶意代码的图片文件到\/templets\/<\/code>目录，如phpinfo.png<\/code><\/li>
<\/ul>
<\/li>

更改数据库参数<\/strong>：<\/p>

通过漏洞点更新dede_homepageset<\/code>表中的templet<\/code>和position<\/code>字段<\/li>
设置templet<\/code>为\/templets\/phpinfo.png<\/code><\/li>
设置position<\/code>为..\/1.php<\/code><\/li>
<\/ul>
<\/li>

触发文件覆盖<\/strong>：<\/p>

访问task_do.php<\/code>执行文件覆盖操作<\/li>
将phpinfo.png<\/code>的内容覆盖到网站根目录的1.php<\/code><\/li>
<\/ul>
<\/li>

执行效果<\/strong>：<\/p>

访问1.php<\/code>执行任意代码<\/li>
<\/ul>
<\/li>
<\/ol>
修复建议<\/h2>

对所有文件路径参数进行严格过滤，禁止目录穿越<\/li>
对写入操作进行权限检查<\/li>
更新到最新版本<\/li>
<\/ol>
总结<\/h2>
这两个漏洞都利用了DedeCMS后台的文件覆盖功能，通过精心构造的参数实现任意代码执行。漏洞一直接通过参数传递实现，漏洞二则通过数据库间接控制文件操作参数，最终都能达到相同效果。理解这些漏洞有助于提高代码审计能力和安全意识。<\/p>

DedeCMS 后台任意代码执行漏洞分析与利用教学<\/h1>

漏洞概述<\/h2> 本教学文档详细分析DedeCMS后台存在的两个任意文件覆盖导致代码执行的漏洞，适用于安全研究人员进行代码审计学习和漏洞复现。<\/p>

漏洞一：DedeCMS V5.7.113 任意文件覆盖导致代码执行<\/h2>

漏洞文件<\/h3> \/dede\/makehtml_homepage.php<\/code><\/p>

漏洞二：DedeCMS V5.7.115 任意文件覆盖导致代码执行<\/h2>

漏洞文件<\/h3> \/dede\/task_do.php<\/code><\/p>

漏洞概述<\/h2>
本教学文档详细分析DedeCMS后台存在的两个任意文件覆盖导致代码执行的漏洞，适用于安全研究人员进行代码审计学习和漏洞复现。<\/p>

漏洞文件<\/h3>
`\/dede\/makehtml_homepage.php<\/code><\/p>`

漏洞文件<\/h3>
`\/dede\/task_do.php<\/code><\/p>`