奇安信攻防社区-记某CMS 5.7.97 前台RCE

记某CMS 5.7.97 前台RCE

本文分为两部分，第一部分是 CVE-2022-35516 的漏洞复现，影响到 5.7.96 ，第二部分是该漏洞的一个绕过，影响 5.7.97 ，已提交 CNVD ，dedecms 已在 5.7.98 修补。

0x00 前言
=======

本文仅用于技术讨论与研究，文中的实现方法切勿应用在任何违法场景。如因涉嫌违法造成的一切不良影响，本文作者概不负责。

本文分为两部分，第一部分是 `CVE-2022-35516` 的漏洞复现，影响到 `5.7.96` ，第二部分是该漏洞的一个绕过，影响 `5.7.97` ，已提交 `CNVD` ，`dedecms` 已在 `5.7.98` 修补。

0x00 漏洞描述
=========

大概在 `5.7.93` 版本左右，`dedecms` 新加了一个功能，用来记录用户登录次数，直接写入 `php` 文件，可以造成 `RCE`。就是此处的 `CVE-2022-35516`

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-f58ee225b6a4a00bb48f1befb03837be4dcf11ee.png)

0x01 漏洞影响
=========

`dedecms 5.7.93 < x < 5.7.97`

0x02 漏洞分析
=========

环境获取：

<https://www.dedecms.com/download>

CVE-2022-35516
--------------

在登陆界面，不会验证用户名真假，直接写入文件

代码有点长，不直接贴了，讲一下大概逻辑

1. 如果存在 `data/login.data.php` ，那么会包含该文件，获取里面的内容赋值给 `$arr_login`，这里是取出之前存储的登录次数等内容
2. 比较验证码，不正确就退出
3. 进行 `checkuser`，验证用户名密码是否正确，因为我们要实现前台 `RCE`，因此不考虑用户名密码正确的情况
4. 用户名错误时，会将 `$arr_login` 在 `json_encode` 后写入文件，包括内容有用户名，次数，时间，其中我们能控制的就是用户名

这里贴上关键代码

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-2b5eb1a47338ab2aacb4fd10baf81478a5232d99.png)

这里直接将 `php` 代码写入了 `data/login.data.php` ，但是 `dedecms` 会对进入程序的所有变量进行一次过滤，比如这里的 `$userid`，实际上就是 `post` 进来后注册成全局变量然后进行过滤的，具体代码位于 `include/common.inc.php`

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-f4fb3c58332e7d5233d97da27fe71c737df91de1.png)

进入的 `userid` 会经过 `_RunMagicQuotes` 过滤，看代码

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-4041e43e84b448314ed9ebd1a7dcba04376c805e.png)

存在 `addslashes` 转义，因此我们传入的 `payload` 经过这里后是存在如下变化的

```php
';phpinfo();?>  => \';phpinfo();?>
```

按道理说这里是无法闭合上之前的单引号，`dedecms` 的开发者估计也是这么想的，因此导致了漏洞的产生

因为忽略了 `json_encode` 的转义，`json_encode` 会转义 `/\` 等字符，如下

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-b8a7b607c4a05d2d7fb2bc79991d3f2ec9624603.png)

因此，经过 `json_encode` 后的字符串会这样变化

```php
\';phpinfo();?>  => \\';phpinfo();?>
```

此处将转义符号给转义回去了，因此可以闭合之前的单引号，从而写入一句话木马

修补绕过
----

在 `5.7.97` 中， `login.php` 的判断用户名密码返回值时，修改成了如下代码

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-6477486e1501c7b94fbd46a7e03443ae1b819925.png)

原本是没有 `$res == -1` 这样的比较的，错误就直接将用户名写入文件，但此处添加了这个比较后，用户名错误时，就直接退出，不会再进入到写文件的那步。在低版本中，我们主要依靠用户名来写 `shell`，现在既要要求用户名存在，又需要用户名写 `shell`，真的做不到吗？答案是否定的，我们跳转到 `checkuser` 函数

`include/userlogin.class.php`

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-d53d2c815a4e7d5c6d0393090b1893f37c68c023.png)

在上一节就讲过了，这些变量是直接 `post` 进来，之后转义过，而这里没有像之前的 `json_encode` 一样的再次转义的函数，因此 `$this->userName` 这里是不存在注入的，那我们就没法依靠注入来实现既能获取用户名，又实现写入 `shell` 的操作

令人有些希望的是上面的正则，他会将除了那一部分字符外的其他字符转换为空，那么我们是不是可以写一堆其他字符，让这里转换为空，而写入 `shell` 的地方还存在这些字符呢？试了挺久，没成功，包括使用取反，异或等无字母数字 `webshell` 的操作

这里写一下我绕过的方案（假设管理员中存在一个用户名为 `admin`，根据常用习惯以及 `dedecms` 设置中的默认，大概率会是存在这个的，实在不行就去其首页找一找，肯定会有管理员发布的东西，从而找到其用户名，只要是在管理员表即可）

使用这里的正则来绕过是必然的，但我们能使用的字符有限，需要满足能获取用户名，那么可以是 `adminADMIN` ，然后要满足位于正则过滤的列表，最后得到的字符是这些

```php
adminADMIN'";?>$()
```

有上面这些就差不多了，还有一些其他的字符没写

然后我们注意到 `dede/login.php` 中，存在一句代码

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-2aa09c9734e06a2fd10fbd4354e941a5e482d0f6.png)

1. 存在 `data/login.data.php` 时，会先包含一次该文件，也就是说里面的内容会执行
2. 上面我有提到，`dedecms` 会将所有 `post` 或者 `get` 上来的变量注册成真的变量，那么我们可以虚构几个变量写入 `login.data.php` 文件，之后执行包含时，我们直接 `post` 那些变量即可注册成真的变量，然后执行代码，比如

```php
 $ad($min)
```

最后我们的 `payload` 为

```php
';$ad($min);?>
```

过滤之后就会变成 `admin`，因此可以获取到用户名，也就可以执行到 写入 `shell` 的地方

写入后，在 `login.php` 这边再次请求，带上两个参数

```php
ad=system&min=whoami
```

即可执行成功

CVE-2022-36216
--------------

还提一下这个洞，出现漏洞的原因与上面的 `CVE` 一样，也是在记录次数的时候进行了文件写入，因此放在此处归类一下。看到这个 `CVE` 的时候以为也是前台洞，后面发现并不是。

漏洞位于 `dede/member_toadmin.php`

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-2a02077b7d1e266049992f74c72a03bfa9940998.png)

一模一样的代码，也是通过这个 `json_encode` 的函数进行的写入，因此有了绕过单引号过滤的可能，最后直接写入，造成了文件写入并可以代码执行。这个洞的价值没那么高，必须在管理后台才可以执行成功，因此就不复现了。

0x03 漏洞复现
=========

CVE-2022-35516
--------------

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-4c3534847c0b2b4a8ad8233f510494d62fcf8ad2.png)

修补绕过
----

### 步骤一：写入代码

得到 `data/login.data.php` 内容

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-bd2941ad4f6c08b344e0bc3a3c5793b21b32b101.png)

### 步骤二：执行代码

要记得更换验证码

![](https://shs3.b.qianxin.com/attack_forum/2022/10/attach-dc26cbe9bc49056181d1755aa5797dbb567edfec.png)

要注意，这里直接访问 `data/login.data.php` 是不行的！一定要记得加上验证码

0x04 总结
=======

`dedecms` 最近更新比较频繁，增加了不少的功能，但是也带来了更多的风险，比如这里的漏洞就是因此增加了登录次数的计数导致的。其他的肯定也存着不少的问题，可以多关注一下。

此处第一部分的漏洞问题比较容易看出来，很简单的文件写入，后面的过滤绕过还是花了一些的时间去分析才得出来的，当时尝试了多种方式，有点以前打 `CTF` 时候的感觉，一定就是有洞，但是不知道如何实现 ，最后成功利用的时候还是挺激动的。

最后，代码审计的时候一定要多注意 `json_encode` 这类型可以影响字符的函数，有时候说不定就通过这个拿到了 `RCE` 漏洞。

0x05 链接
=======

目前在学代码审计，对此感兴趣的师傅可以加好友一起交流学习

环境与 `exp` 都可以在如下链接获取

GitHub
------

<https://github.com/N0puple/vulPOC>

发表于 2022-10-12 09:12:30
阅读 ( 7395 )
分类：漏洞分析

2 条评论

威尼斯商人 2022-11-18 11:16

师傅可以给下这个版本的源码吗官网下的都是补丁

shenwu 回复威尼斯商人

https://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7.97-UTF8.zip

2022-11-28 14:52
回复