渗透实战:dedeCMS任意用户密码重置到内网getshell
渗透实战:dedeCMS任意用户密码重置到内网getshell
## 一、简介
DedeCMS 是一个基于 PHP 和 MySQL 的开源 CMS 系统,它是国内很多网站使用的 CMS 系统之一。在使用 DedeCMS 的过程中,我们需要重视其安全性,因为安全问题可能会导致网站数据泄露、网站被黑、系统被入侵等严重后果。本文将介绍如何进行 DedeCMS 安全测试。
1、环境准备
为了进行 DedeCMS 安全测试,我们需要准备以下环境:
- 一台安装了 PHP 和 MySQL 的服务器;
- DedeCMS V5.7 SP2正式版 安装包;
- 一些常用的安全测试工具,如:Burp Suite、Nmap、御剑 等。
2、安装 DedeCMS
首先,我们需要安装 DedeCMS,用于本地复现。这可以参考官方文档或者其他教程来完成。在HOSTS文件将虚拟机IP映射到dede.com域名写以便于进行安全测试。
二、安全测试
1、信息收集
在拿到一个站点的第一步肯定是进行一个信息收集,它是整个渗透测试的基础。信息收集的目的是为了获取目标网络或系统的相关信息,包括IP地址、域名、操作系统、开放端口、应用程序、网络拓扑、用户信息、源码泄露等,以便于渗透测试人员对目标进行深入分析和攻击,如确定目标,定位漏洞,分析目标网络,确定攻击方式等等。
由于是本地搭建环境复现,此处就不进行常规的CDN绕过、WAF、蜜罐识别、子域名收集等操作。
端口扫描
目录扫描
2、漏洞确定
通过泄露的robots.txt文件得到前台登录的账户名test1
通过泄露的web.zip文件得出相关线索
通过泄露的得出dedeCMS版本信息
3、漏洞利用
3.1重置用户密码
通过web.zip中mysql_config.txt中的提示和ver.txt泄露的版本信息寻找相关Nday
得出该版本为DedeCMS V5.7 SP2正式版,存在任意用户密码重置漏洞
利用点在后台的用户重置密码,再通过web.zip泄露的源码中得到其中一个已存在的用户名为test1来重置该用户密码
注:这里要选择-通过安全问题取回,其中没有设置安全问题的用户会利用失败
使用BP抓包,点击-下一步,蒋截获的请求包发送到重发器模块以便于查看响应包,原来的包DROP掉,不然会触发二次请求导致利用失败
使用此payload,将原来的POST请求内容替换,其中的&vdcode=xxx&type=xxx不用替换
dopost=safequestion&id=1&userid=test1&safequestion=00&safeanswer=0&vdcode=embh&type=2
访问响应包中得到的地址即可进入密码重置页面,注:其中的amp;实体编码要去掉
http://www.dede.com/member/resetpassword.php?dopost=getpasswd&id=1&key=7csIufED
密码重置为123,重置成功
这个漏洞能利用任意用户重置管理员密码,毕竟id=1嘛
渗透实战:dedeCMS任意用户密码重置到内网getshell相关推荐
- 任意用户密码重置(四):重置凭证未校验
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区.我把日常渗透过程中遇到的案例作了漏洞成 ...
- 任意用户密码重置(六):应答中存在影响后续逻辑的状态参数
前言 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区.我把日常渗透过程中遇到的案例作了 ...
- 记一次任意用户密码重置漏洞(session覆盖)
首先,注册用户(两个用户),我用我的小号,大号进行注册,过程方便就先省略 接下来两个号分别登录,登录完退出 (强迫症) 然后就去找密码重置的界面了 第一个是被重置的帐户 然后分别发送邮件 注意!:第一 ...
- 任意用户密码重置的10种常见姿势
1 验证码不失效 造成原因:找回密码的时候获取的验 证码缺少时间限制仅值判断了验证码是 够正确未判断验证码是否过期 测试方法:通过枚举找到真正的验证 码输入验证码完成验证 -案例 输入目标手机号,获取 ...
- 任意用户密码重置的10种姿势
1.验证码不失效 具体操作流程 2.验证码直接返回 具体操作流程 3.验证码未绑定用户 具体操作流程 4. 修改接收的手机或邮箱 具体操作流程 5.本地验证的绕过 具体操作流程 6.绕过验证步骤 具体 ...
- 换一种姿势挖掘任意用户密码重置漏洞
上一篇文章我们提到了利用Unicode规范化来挖洞的思路以及方法,大家反响很热烈 一直在后台给我留言,苦苦哀求 让我憋tm写了,一直写烦不烦呀 现在的读者都已经这么体贴了吗?都已经开始关心我辛苦码字烦 ...
- 【漏洞分析】dedecms有前提前台任意用户密码修改
0x00 前言 早上浏览sec-news,发现锦行信息安全发布了一篇文章<[漏洞分析] 织梦前台任意用户密码修改>,看完之后就想着自己复现一下. 该漏洞的精髓是php的弱类型比较,'0. ...
- DeDeCMS v5.7 SP2 前台任意用户密码修改漏洞复现
DeDeCMS v5.7 SP2 前台任意用户密码修改漏洞复现 一.漏洞概述 1.简介 织梦内容管理系统(DedeCms) [1] 以简单.实用.开源而闻名,是国内最知名的 PHP 开源网站管理系统, ...
- DedeCMS V5.7 前台任意用户密码修改漏洞
本博客已搬迁至:https://n0puple.github.io/ 此处不再更新文章 本文仅用于技术讨论与研究,文中的实现方法切勿应用在任何违法场景.如因涉嫌违法造成的一切不良影响,本文作者概不负责 ...
最新文章
- react-native安装Ant Design
- iOS程序启动画面的制作
- POJ 2417 Discrete Logging 离散对数
- C++ Map简单介绍 ,比如添加元素、删除元素和打印元素
- P4049 [JSOI2007]合金
- 内存监控设置及数据获取方案
- 分享128个简约模板PPT模板,总有一款适合你
- 对抗样本之FGSM原理coding
- AppFuse 安装
- lg相乘公式_lg函数(log的公式大全)
- 苹果关掉200m限制_苹果怎么取消200m限制
- idea常用的搜索方式
- request与session作用域
- 移动硬盘文件系统错误16389
- 程序员微信名昵称_独一无二的情侣微信名-心有所属,名花有主
- linux下安装redis和phpredis扩展
- linux忘了用户名和密码_linux忘记用户名怎么办
- 韩国留学跨计算机,韩国留学跨专业申请行么?弃工从文真实案例借你参考!
- 蓝牙定位与UWB定位的对比
- html中 $('#wait_pls').show();什么意思
热门文章
- mysql千万级数据怎么删除,MySQL 快速删除大量数据(千万级别)的几种实践方案详解...
- 世界第一虚拟乐队举办了一场 AR 音乐会 #Gorillaz
- Tiptop ERP GP 5.25 删除营运中心新建营运中心说明
- c语言中的中pred函数作用,C++ partition()和stable_partition()函数详解
- WM6 Rapi 开发(一) 准备工作
- android在线root,android在线是什么意思上显示
- 类似音速启动的原创工具简码万能助手在线用户数终于突破100了!
- 汇编语言贪吃蛇、俄罗斯方块双任务设计实现详解(一)——整体系统设计
- [易信公众账号开发]第一章 序
- anaconda卸载后重装出现了问题