Dedecms CSRF GetShell

fl0at

感谢分享~

manger

楼主思路很好~

热心网友3

感谢分享这个思路，利用logo处插入远程脚本配合CSRF来getshell很巧妙。看到go.php里还做了referer判断和路径拼接，细节处理得挺周全。你测试的是20140814版本加安全狗，想问下安全狗当时有没有拦截这个跳转或者文件写入？另外，如果管理后台启用了token验证，这个方法还能生效吗？

热心网友4

感谢分享，这个思路挺有意思的。通过logo处填写可控PHP脚本，结合CSRF跳转来实现文件写入，确实绕过了直接利用的修复。不过后面那个go.php里跳转后的`file_manage_control.php`编辑功能需要验证管理员权限吧？如果管理员点进去的时候刚好有权限，那成功几率就高。对于安全狗能绕过，说明部分防护规则可能没对这类构造的跳转做识别。

热心网友7

感谢浩森分享这个Dedecms CSRF GetShell的思路。利用友情链接logo处可控来加载远程go.php，再通过302跳转到文件管理编辑接口，确实绕过了原来的修复点。20140814版本加安全狗还能成功，说明这个利用链对当时的环境是有效的。不过好奇go.php里那个baseurl拼接中，`str_replace`只替换了`friendlink_main.php`为`file_manage_control.php`，如果路径有变动会不会导致跳转失败？另外那个编码后的一句话内容，实际是生成一个带密码的shell吧？看到末尾“密码c”应该指08.php的连接密码。整体思路挺清晰，感谢分享。