渗透实战:dedeCMS任意用户密码重置到内网getshell
渗透实战:dedeCMS任意用户密码重置到内网getshell
## 一、简介
DedeCMS 是一个基于 PHP 和 MySQL 的开源 CMS 系统,它是国内很多网站使用的 CMS 系统之一。在使用 DedeCMS 的过程中,我们需要重视其安全性,因为安全问题可能会导致网站数据泄露、网站被黑、系统被入侵等严重后果。本文将介绍如何进行 DedeCMS 安全测试。
1、环境准备
为了进行 DedeCMS 安全测试,我们需要准备以下环境:
- 一台安装了 PHP 和 MySQL 的服务器;
- DedeCMS V5.7 SP2正式版 安装包;
- 一些常用的安全测试工具,如:Burp Suite、Nmap、御剑 等。
2、安装 DedeCMS
首先,我们需要安装 DedeCMS,用于本地复现。这可以参考官方文档或者其他教程来完成。在HOSTS文件将虚拟机IP映射到dede.com域名写以便于进行安全测试。
二、安全测试
1、信息收集
在拿到一个站点的第一步肯定是进行一个信息收集,它是整个渗透测试的基础。信息收集的目的是为了获取目标网络或系统的相关信息,包括IP地址、域名、操作系统、开放端口、应用程序、网络拓扑、用户信息、源码泄露等,以便于渗透测试人员对目标进行深入分析和攻击,如确定目标,定位漏洞,分析目标网络,确定攻击方式等等。
由于是本地搭建环境复现,此处就不进行常规的CDN绕过、WAF、蜜罐识别、子域名收集等操作。
端口扫描
目录扫描
2、漏洞确定
通过泄露的robots.txt文件得到前台登录的账户名test1
通过泄露的web.zip文件得出相关线索
通过泄露的得出dedeCMS版本信息
3、漏洞利用
3.1重置用户密码
通过web.zip中mysql_config.txt中的提示和ver.txt泄露的版本信息寻找相关Nday
得出该版本为DedeCMS V5.7 SP2正式版,存在任意用户密码重置漏洞
利用点在后台的用户重置密码,再通过web.zip泄露的源码中得到其中一个已存在的用户名为test1来重置该用户密码
注:这里要选择-通过安全问题取回,其中没有设置安全问题的用户会利用失败
使用BP抓包,点击-下一步,蒋截获的请求包发送到重发器模块以便于查看响应包,原来的包DROP掉,不然会触发二次请求导致利用失败
使用此payload,将原来的POST请求内容替换,其中的&vdcode=xxx&type=xxx不用替换
dopost=safequestion&id=1&userid=test1&safequestion=00&safeanswer=0&vdcode=embh&type=2
访问响应包中得到的地址即可进入密码重置页面,注:其中的amp;实体编码要去掉
http://www.dede.com/member/resetpassword.php?dopost=getpasswd&id=1&key=7csIufED
密码重置为123,重置成功
这个漏洞能利用任意用户重置管理员密码,毕竟id=1嘛
渗透实战:dedeCMS任意用户密码重置到内网getshell相关推荐
- 任意用户密码重置(四):重置凭证未校验
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区.我把日常渗透过程中遇到的案例作了漏洞成 ...
- 任意用户密码重置(六):应答中存在影响后续逻辑的状态参数
前言 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区.我把日常渗透过程中遇到的案例作了 ...
- 记一次任意用户密码重置漏洞(session覆盖)
首先,注册用户(两个用户),我用我的小号,大号进行注册,过程方便就先省略 接下来两个号分别登录,登录完退出 (强迫症) 然后就去找密码重置的界面了 第一个是被重置的帐户 然后分别发送邮件 注意!:第一 ...
- 任意用户密码重置的10种常见姿势
1 验证码不失效 造成原因:找回密码的时候获取的验 证码缺少时间限制仅值判断了验证码是 够正确未判断验证码是否过期 测试方法:通过枚举找到真正的验证 码输入验证码完成验证 -案例 输入目标手机号,获取 ...
- 任意用户密码重置的10种姿势
1.验证码不失效 具体操作流程 2.验证码直接返回 具体操作流程 3.验证码未绑定用户 具体操作流程 4. 修改接收的手机或邮箱 具体操作流程 5.本地验证的绕过 具体操作流程 6.绕过验证步骤 具体 ...
- 换一种姿势挖掘任意用户密码重置漏洞
上一篇文章我们提到了利用Unicode规范化来挖洞的思路以及方法,大家反响很热烈 一直在后台给我留言,苦苦哀求 让我憋tm写了,一直写烦不烦呀 现在的读者都已经这么体贴了吗?都已经开始关心我辛苦码字烦 ...
- 【漏洞分析】dedecms有前提前台任意用户密码修改
0x00 前言 早上浏览sec-news,发现锦行信息安全发布了一篇文章<[漏洞分析] 织梦前台任意用户密码修改>,看完之后就想着自己复现一下. 该漏洞的精髓是php的弱类型比较,'0. ...
- DeDeCMS v5.7 SP2 前台任意用户密码修改漏洞复现
DeDeCMS v5.7 SP2 前台任意用户密码修改漏洞复现 一.漏洞概述 1.简介 织梦内容管理系统(DedeCms) [1] 以简单.实用.开源而闻名,是国内最知名的 PHP 开源网站管理系统, ...
- DedeCMS V5.7 前台任意用户密码修改漏洞
本博客已搬迁至:https://n0puple.github.io/ 此处不再更新文章 本文仅用于技术讨论与研究,文中的实现方法切勿应用在任何违法场景.如因涉嫌违法造成的一切不良影响,本文作者概不负责 ...
最新文章
- mysql主备在同一台_MySQL高可用(一)主备同步:MySQL是如何保证主备一致的
- Python函数的非固定参数
- 3d face paper
- fjblog佛教博客不错
- javascript实战pdf_web前端入门到实战:10分钟入门 CSS3 Animation
- C++基础——关于模板的技巧性基础知识(typename、成员模板、模板的模板参数)
- linux grep egrep fgrep bash条件判断 bash测试 if 条件判断
- ASP中常用的服务器检测源代码
- latex longtable caption长度提前换行解决方案
- 免费下载百度文库 道客巴巴 豆丁 等付费文档
- 用java做一个简易的五子棋
- postgresql源码学习(十)—— 常规锁③-主锁表与进程锁表的初始化与查询
- 【卸载神器——Geek】的下载安装使用教程
- JSON.stringify(value [, replacer] [, space])
- 怎么简单快速的将多个中文文件转换成英文的名称
- 3.表数据的CRUD
- 海岸TDM平台性能-续
- 01-复杂度2 Maximum Subsequence Sum (25分)(数据结构)(C语言实现)
- 2018 UESTC Training for Data Structures 小埋的steam愿望单
- 深圳软件测试培训:移动测试ExpandableListView