[代码审计]DedeCMS V5.7 SP2前台任意文件删除

[TOC]
### 0x01 前言
------------
>首先本地搭建环境，我所使用的是Windows PHPstudy集成环境。使用起来非常方便。特别是审计的时候。可以任意切换PHP版本。

### 0x02 CMS简介
------------
>感觉都知道Dede，就不写了。只是为了一个格式好看（轻微强迫症患者）。

### 0x03 正文
------------
漏洞所在文件：`/member/album_add.php(在用户中心内)`
漏洞文件代码：(只贴上相关代码)
```php
    include(DEDEMEMBER.'/inc/archives_check.php');
	
    $ddisfirst=1;
    //处理并保存所指定的图片从网上复制
    if($formhtml==1)
    {
        $imagebody = stripslashes($imagebody);
        $imgurls .= GetCurContentAlbum($imagebody,$copysource,$litpicname);
        if($ddisfirst==1 && $litpic=='' && !empty($litpicname))
        {
            $litpic = $litpicname;
            $hasone = true;
        }
    }
	
	/*中间其它不相关的处理流程省略。*/
	
    $inQuery = "INSERT INTO `#@__archives`(id,typeid,sortrank,flag,ismake,channel,arcrank,click,money,title,shorttitle,
color,writer,source,litpic,pubdate,senddate,mid,description,keywords,mtype)
VALUES ('$arcID','$typeid','$sortrank','$flag','$ismake','$channelid','$arcrank','0','$money','$title','$shorttitle',
'$color','$writer','$source','$litpic','$pubdate','$senddate','$mid','$description','$keywords','$mtypesid'); ";
    if(!$dsql->ExecuteNoneQuery($inQuery))
    {
        $gerr = $dsql->GetError();
        $dsql->ExecuteNoneQuery("DELETE FROM `#@__arctiny` WHERE id='$arcID' ");
        ShowMsg("把数据保存到数据库主表 `#@__archives` 时出错，请联系管理员。","javascript:;");
        exit();
    }
```
首先看到这条插入的 `SQL语句` 关注到 `litpic` 这个字段和 `$litpic` 这个变量，由于之前看其它功能模块的代码的时候发现这个变量值是涉及到删除文件操作的。因为在删除一个文章或者图片集的时候，会将 `litpic` 这个字段上面的路径文件删除。这个字段存储的是程序所上传的图片路径。用来删除文章或者其它的时候进行删除文件的。

之前看其它功能的时候，这个任意文件删除漏洞是不存在的，因为最上面 包含了 `/inc/archives_check.php` 这个文件，这个文件的最下方是对 `$litpic` 这个变量进行了初始化。因此没办法覆盖这个变量值。所以没办法对这个变量值进行控制，就没办法利用了。可以看看这个文件相关的代码：
```php
//处理上传的缩略图
$litpic = MemberUploads('litpic', '', $cfg_ml->M_ID, 'image', '', $cfg_ddimg_width, $cfg_ddimg_height, FALSE);
if($litpic!='') SaveUploadInfo($title,$litpic,1);
```
可以看到是直接初始化了值的。我们这个漏洞也是利用的 `$litpic` 变量与数据库的 `litpc` 字段，按照正常来说我们是没办法覆盖，但是我们可以看到上边代码11行：`$litpic = $litpicname;` 可以看到这里又重新进行了一次赋值。

由于包含的`/inc/archives_check.php` 这个文件，是在 `$litpic = $litpicname;` 这行代码的上方，所以最上面初始化好的变量值到了这一行就会被 `$litpicname` 这个变量值给覆盖，但是由于 `$litpicname` 这个变量并没有进行初始化操作，所以我们就可以利用变量覆盖，直接覆盖 `$litpicname` 这个变量，然后在赋值给 `$litpic` ，就造成了这个漏洞了。

首先我们可以看到，他是在一个 `if` 判断里面，我们要进入到判断，就必须满足 `$formhtml = 1` 但是因为 `$formhtml` 这个变量也没有进行初始化，所以我们一样可以对这个变量进行控制覆盖。 之后只要满足 `litpic` 为空  以及 `litpicname` 有值就可以重新去赋值 `litpic`的值了。

接下来看到删除代码：
所在文件：`/member/archives_do.php`
```php
else if($dopost=="delArc")
{
/*其它代码省略*/
    //删除文档
    if($row['issystem']!=-1) $rs = DelArc($aid);
    else $rs = DelArcSg($aid);
}
```
可以看到这里判断 `issystem` 是否不等于 `-1` 不等于的话就调用 `DelArc` 这个函数，否则调用 `DelArcSg` 这个函数，由于数据库内默认 `issystem` 值就为 `1` 因此我们定位  `DelArc` 这个函数。
所在文件：`/member/inc/inc_batchup.php`
```php
$licp = $dsql->GetOne("SELECT litpic FROM `#@__archives` WHERE id = '$aid'");
if($licp['litpic'] != "")
{
	$litpic = DEDEROOT.$licp['litpic'];
	if(file_exists($litpic) && !is_dir($litpic))
	{
		@unlink($litpic);
	}
}
```
可以看到8行代码使用 `unlink` 函数删除 `$litpic`

可以看到 `$litpic` 是 `DEDEROOT` 拼接上数据库中查询出来的 `litpic` 字段（就是我们插入的需要删除的文件路径），`DEDEROOT` 常量是定义的从系统根目录到当前织梦的程序根目录。所以我们得到信息，插入的 `litpic` 字段文件路径，以程序根目录为准即可，也就是不用跨目录。比如：`/robots.txt` 即可。

来验证下
首先在会员中心，图片集中，新建图片集：

![1.png](http://www.bugsafe.cn/usr/uploads/2018/01/1041391363.png)

添加成功后，来看下数据库中是否插入了对应的数据。
![2.png](http://www.bugsafe.cn/usr/uploads/2018/01/2786988603.png)

可以看到是成功插入了。

![3.png](http://www.bugsafe.cn/usr/uploads/2018/01/3523468720.png)

然后我们删除对应图片集

![4.png](http://www.bugsafe.cn/usr/uploads/2018/01/1785777956.png)

![5.png](http://www.bugsafe.cn/usr/uploads/2018/01/1361668048.png)

文件成功删除，因此我们只要插入对应的文件路径，即可删除对应文件。

### 0x04 其它任意文件删除点

第一处漏洞所在文件：/member/archives_do.php
```php
//删除缩略图
if(trim($row['litpic'])!='' && preg_match("#^".$cfg_user_dir."/{$cfg_ml->M_ID}#", $row['litpic']))
{
	$dsql->ExecuteNoneQuery("DELETE FROM `#@__uploads` WHERE url LIKE '{$row['litpic']}' AND mid='{$cfg_ml->M_ID}' ");
	@unlink($cfg_basedir.$row['litpic']);
}
```
可以看到这里，首先是判断 `litpic` 不为空 以及 正则匹配 是否是在某个目录下面（这个如何去利用的话在之前一篇文章上有，只要包含正则上的目录然后在跨目录就好了） [文章直通车](http://www.bugsafe.cn/archives/137.html "文章直通车")  之后就进入到了真区间。执行了删除操作（因为是跨目录了。所以依然能导致任意文件删除）。

### 0x05 关于DedeCMS的变量覆盖
我们可以看到 `/include/common.inc.php` 内的代码：
```php
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($$_request as $_k => $_v)
	{
		if($_k == 'nvarname') ${$_k} = $_v;
		else ${$_k} = _RunMagicQuotes($_v);
	}
}
```
说一下这个代码的运行流程。
首先循环数组内的 `_GET`、`_POST`、`_COOKIE` 并且将值给 `$_request`；

然后第二个`foreach`开始循环 `$$_request` 那么其实这个就是相当于 `$_GET` 因为第一个 `foreach` 循环第一次的时候 `$_request` 的值为 `_GET` 第二个`foreach`内加多了一个 `$` 那么 `$$_request` 就变成 `$_GET` 并且将对应的参数定义为 `$_k` 和 值定义为 `$_v` ；

比如我的URL为：http://www.xx.com/test.php?demo=poacher 那么 `$_k` 则为 `demo` ，`$_v` 则为 `poacher`；

接下来我们可以看到 `${$_k} = $_v;` 这里其实就是进行了一个赋值操作了。以上面的url为例，最后就变成了 `${demo} = 'poacher'` 就可以看到其实这里就是对变量进行赋值操作了。所以如果在代码中不对变量进行初始化的话，那么我们就可以使用变量覆盖，最后可能导致变量覆盖漏洞。

`_RunMagicQuotes` 这个函数是一些关于过滤转义的操作。有兴趣童鞋可以自己翻阅一下，主要注册变量的流程是上面所说的。

相关流程：
```php
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($_GET as $_k => $_v){/*相关代码*/}
}

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($_POST as $_k => $_v){/*相关代码*/}
}

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($_COOKIE as $_k => $_v){/*相关代码*/}
}
```

Poacher's Blog

信息安全梦开始的地方,菜鸡#

[代码审计]DedeCMS V5.7 SP2前台任意文件删除

香白菜2018-01-20 13:35回复

Poacher2018-01-24 16:16回复

添加新评论

最新文章