意外搞出的免杀 Webshell 实战之织梦 CMS 到 RCE

前言

书接上文，在上次意外搞出的免杀 webshell 条件下，最近又去审计了一个织梦 CMS
官方网站 https://www.dedecms.com/
最后成功利用免杀 webshell 实现了 RCE，下面是审计过程和审计思路
环境搭建

去官网下载源码，然后配合 phpstudy 搭建就 ok 了
这个比较简单，注意根目录需要放 upload 目录
注意默认的管理员目录是 dede，访问/dede/login.php

[img=720,377.35714285714283]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/c35cb1c5-7010-4ded-b45a-da17a7481af0.png[/img]

默认账户密码adminadmin

[img=720,333.64285714285717]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/addbac93-9c5e-4083-af61-45ad4b1443e1.png[/img]

代码审计

这里我只找 RCE 漏洞
首先对于 php 的话，就是找 sink 点，或者在后台功能点去看，一般审计多了，看到功能点就大概能猜出有哪些漏洞
sink 点的话可以使用一个工具
Seay 源代码审计系统
https://github.com/f1tz/cnseay
虽然比较粗糙，误报很多，不过相比于语义分析的工具更能提升代码审计的技术
我们直接把源码丢进去就可以了

[img=720,379.2857142857143]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/7d9ceea5-ae9a-491b-afff-28c10c0b40ca.png[/img]

可以看到这个工具确实不太准确，因为 sink 点实在太多，不过熟练后，一眼就知道哪些不需要去管的
然后这里我只关注能够 RCE 的漏洞
找到之后没有什么技巧，就是回头看参数是否可以控制
【----帮助网安学习，以下所有学习资料免费领！加vx：YJ-2021-1，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
下面举个例子
案例 1

比如这句话，一眼就感觉有漏洞，我们就需要去详细查看一下

[img=720,266.14285714285717]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/dd37eb80-e780-4587-b3ef-fb3d6d7aea04.png[/img]

[code]