漏洞出现在cookie加密函数
咋和dede的一样呢。。。
WooYun: DedeCMS-V5.7-SP1(2014-07-25)sql注入+新绕过思路
这个加密算法我逆向过,,就不多说了。。。
因为这个可以逆所以我们可以控制cookie。
接下来就是getshell了
看到
/core/lib/core/App.class.php
ACookie::set('lang', $langSet);
接收lang的cookie后 再包含。 我们可以上传个jpg格式的shell再截断包含,因为数据是加密再解密进入的,所以无视gpc的影响~
-------------------
利用过程,
首先注册个长度为24的账户,这样才能完美的控制cookie的值,
上传个jpg格式的shell
记住地址后,看下cookie uwa_m_userid的值。他的明文对应格式为
将得到的值
填入下面的poc
得到最终的playload
修改cookie值, 可以看到成功执行了php脚本