dedecms-master 5.7

0x01 靶场环境搭建

靶场源码:
链接:https://pan.quark.cn/s/94779e1e2d1b
提取码:WfFe
1、修改配置文件,data\common.inc.php
2、直接导入back.sql数据库即可
3、php使用5版本
前台:http://www.dedecms.com/
image
后台:http://www.dedecms.com/dede
image
登录:admin/admin

0x02 CSRF-申请链接与文件上传模块

申请加入-->申请一个新的链接
image
image
image
进入后台查看新添加的链接
image
意味着可以将test替换为攻击者构造的恶意网站,该网站具体能实现的功能取决于该后台还有哪些可利用的功能
查看后台其他的功能模块,发现存在文件上传功能
image
测试在根目录上传一个php文件
image
image
能够访问到上传的文件,把内容修改为一句话木马
image
再次访问
image
所以可把申请链接和上传文件结合到一块
在上传test02.php时抓包
3fa8404cead1dd2d13f57ab12d86396f
发送到Reapter,生成PoC
45668fd3ccd5719f474195e3978c4491
打开另一个目录,把Poc放进去
e24c421bf21c7c4f979841bf5a7a5cc4
访问该页面提示登录
f0e36efad1edb942fc3342275239c8d9
test02.php保存成功
f70b95d73da9da08bcf485acd09c518d
在PoC中修改文件名为test03.php
a41489e9204b4a4436d13049f8d0f94d
申请一个链接,填PoC网址
a1297c689f80fc201b815a7c79cd689b
进入后台管理员审核,点击
349b8d70dfd7e8a2aca3205d26cb900d
跳转到登录
c133d079ace4f261fd6dd81e7a2c3cae
登陆后,test03.php生成
cebfdbc0c9e724c44297ecf7ce0ed003

0x03 反射型XSS-前台搜索栏

前台搜索栏搜索:<script>alert(1)</script>
image
测试:大小写、单独提交script、<>被过滤,onclick事件、实体编码script、单引号、双引号被过滤。空格没被过滤。<、> 、"、'实体化编码后没被过滤。
该搜索栏使用的是黑名单过滤,将所有html事件属性粘贴进搜索框,查看没有被过滤的部分,最终尝试oninput事件测试成功
image
在value处插入oninput事件,并对引号进行实体化编码后的payload:" oninput="alert(1)-->&#34; oninput=&#34;alert(1)
image
只需在输入框随便敲入一个字符就可触发弹窗。

posted @ 2026-01-14 11:02  77板烧鸡腿堡  阅读(3)  评论(0)    收藏  举报