2. 程式人生 > >DeDecms(織夢CMS)最新版任意使用者密碼重置漏洞分析

DeDecms(織夢CMS)最新版任意使用者密碼重置漏洞分析

阿新 發佈:2018-12-14

描述

Dedecms是一款開源的PHP開源網站管理系統。

影響產品

DeDecms(織夢CMS) V5.7.72 正式版20180109 (最新版)

由於前臺resetpassword.php中對接受的safeanswer引數型別比較不夠嚴格,遭受弱型別比較攻擊導致了遠端攻擊者可以在前臺會員中心繞過驗證,進行任意使用者密碼重置攻擊

漏洞觸發位置

①檔案位置:dedecms/member/resetpassword.php(75行)

else if($dopost == "safequestion")
{
    $mid = preg_replace("#[^0-9]#", "", $id);
    $sql = "SELECT safequestion,safeanswer,userid,email FROM #@__member WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(empty($safequestion)) $safequestion = '';

    if(empty($safeanswer)) $safeanswer = '';

    if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)
    {
        sn($mid, $row['userid'], $row['email'], 'N');
        exit();
    }
    else
    {
        ShowMsg("對不起,您的安全問題或答案回答錯誤","-1");
        exit();
    }

}

就是這裡的判斷出現了問題,因為使用了不夠嚴謹的 == 進行了比較,導致if語句的條件為真,就會進入分支,進入sn函式

if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)
{
    sn($mid, $row['userid'], $row['email'], 'N');
    exit();
}

②檔案位置:dedecms/member/inc/inc_pwd_functions.php(150行) 函式名稱:function sn

function sn($mid,$userid,$mailto, $send = 'Y')
{
    global $db;
    $tptim= (60*10);
    $dtime = time();
    $sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(!is_array($row))
    {
        //傳送新郵件;
        newmail($mid,$userid,$mailto,'INSERT',$send);
    }
    //10分鐘後可以再次傳送新驗證碼;
    elseif($dtime - $tptim > $row['mailtime'])
    {
        newmail($mid,$userid,$mailto,'UPDATE',$send);
    }
    //重新發送新的驗證碼確認郵件;
    else
    {
        return ShowMsg('對不起,請10分鐘後再重新申請', 'login.php');
    }
}

在sn函式內部,會根據id到pwd_tmp表中判斷是否存在對應的臨時密碼記錄,根據結果確定分支,走向newmail函式

if(!is_array($row))
    {
        //傳送新郵件;
        newmail($mid,$userid,$mailto,'INSERT',$send);
    }

③檔案位置:dedecms/member/inc/inc_pwd_functions.php(73行) 函式名稱:function newmail

function newmail($mid, $userid, $mailto, $type, $send)
{
    global $db,$cfg_adminemail,$cfg_webname,$cfg_basehost,$cfg_memberurl;
    $mailtime = time();
    $randval = random(8);
    $mailtitle = $cfg_webname.":密碼修改";
    $mailto = $mailto;
    $headers = "From: ".$cfg_adminemail."\r\nReply-To: $cfg_adminemail";
    $mailbody = "親愛的".$userid.":\r\n您好!感謝您使用".$cfg_webname."網。\r\n".$cfg_webname."應您的要求,重新設定密碼:(注:如果您沒有提出申請,請檢查您的資訊是否洩漏。)\r\n本次臨時登陸密碼為:".$randval." 請於三天內登陸下面網址確認修改。\r\n".$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid;
    if($type == 'INSERT')
    {
        $key = md5($randval);
        $sql = "INSERT INTO `#@__pwd_tmp` (`mid` ,`membername` ,`pwd` ,`mailtime`)VALUES ('$mid', '$userid',  '$key', '$mailtime');";
        if($db->ExecuteNoneQuery($sql))
        {
            if($send == 'Y')
            {
                sendmail($mailto,$mailtitle,$mailbody,$headers);
                return ShowMsg('EMAIL修改驗證碼已經發送到原來的郵箱請查收', 'login.php','','5000');
            } else if ($send == 'N')
            {
                return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
            }
        }
        else
        {
            return ShowMsg('對不起修改失敗,請聯絡管理員', 'login.php');
        }
    }
    elseif($type == 'UPDATE')
    {
        $key = md5($randval);
        $sql = "UPDATE `#@__pwd_tmp` SET `pwd` = '$key',mailtime = '$mailtime'  WHERE `mid` ='$mid';";
        if($db->ExecuteNoneQuery($sql))
        {
            if($send == 'Y')
            {
                sendmail($mailto,$mailtitle,$mailbody,$headers);
                ShowMsg('EMAIL修改驗證碼已經發送到原來的郵箱請查收', 'login.php');
            }
            elseif($send == 'N')
            {
                return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
            }
        }
        else
        {
            ShowMsg('對不起修改失敗,請與管理員聯絡', 'login.php');
        }
    }
}

進入newmail函式後,會因為$type的值進入這個分支

if($type == 'INSERT')
{
    $key = md5($randval);
    $sql = "INSERT INTO `#@__pwd_tmp` (`mid` ,`membername` ,`pwd` ,`mailtime`)VALUES ('$mid', '$userid',  '$key', '$mailtime');";
    if($db->ExecuteNoneQuery($sql))
    {
        if($send == 'Y')
        {
            sendmail($mailto,$mailtitle,$mailbody,$headers);
            return ShowMsg('EMAIL修改驗證碼已經發送到原來的郵箱請查收', 'login.php','','5000');
        } else if ($send == 'N')
        {
            return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
        }
    }
    else
    {
        return ShowMsg('對不起修改失敗,請聯絡管理員', 'login.php');
    }
}

然後因為($send == 'N')這個條件為真,通過ShowMsg打印出修改密碼的連線,導致漏洞形成

else if ($send == 'N')
{
    return ShowMsg('稍後跳轉到修改頁', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
}

密碼修改連線如下,點選後重新調到resetpassword.php這個頁面

http://127.0.0.1/dedecms/member/resetpassword.php?dopost=getpasswd&id=9&key=dqg3OSQo

檔案位置:dedecms/member/resetpassword.php(96行)

else if($dopost == "getpasswd")
{
    //修改密碼
    if(empty($id))
    {
        ShowMsg("對不起,請不要非法提交","login.php");
        exit();
    }
    $mid = preg_replace("#[^0-9]#", "", $id);
    $row = $db->GetOne("SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'");
    if(empty($row))
    {
        ShowMsg("對不起,請不要非法提交","login.php");
        exit();
    }
    if(empty($setp))
    {
        $tptim= (60*60*24*3);
        $dtime = time();
        if($dtime - $tptim > $row['mailtime'])
        {
            $db->executenonequery("DELETE FROM `#@__pwd_tmp` WHERE `md` = '$id';");
            ShowMsg("對不起,臨時密碼修改期限已過期","login.php");
            exit();
        }
        require_once(dirname(__FILE__)."/templets/resetpassword2.htm");
    }
    elseif($setp == 2)
    {
        if(isset($key)) $pwdtmp = $key;

        $sn = md5(trim($pwdtmp));
        if($row['pwd'] == $sn)
        {
            if($pwd != "")
            {
                if($pwd == $pwdok)
                {
                    $pwdok = md5($pwdok);
                    $sql = "DELETE FROM `#@__pwd_tmp` WHERE `mid` = '$id';";
                    $db->executenonequery($sql);
                    $sql = "UPDATE `#@__member` SET `pwd` = '$pwdok' WHERE `mid` = '$id';";
                    if($db->executenonequery($sql))
                    {
                        showmsg('更改密碼成功,請牢記新密碼', 'login.php');
                        exit;
                    }
                }
            }
            showmsg('對不起,新密碼為空或填寫不一致', '-1');
            exit;
        }
        showmsg('對不起,臨時密碼錯誤', '-1');
        exit;
    }
}

在pwd_tmp表中查詢判斷後,最後會跳入這個分支,判斷是否超時,然後進入密碼修改頁面

if(empty($setp))
{
    $tptim= (60*60*24*3);
    $dtime = time();
    if($dtime - $tptim > $row['mailtime'])
    {
        $db->executenonequery("DELETE FROM `#@__pwd_tmp` WHERE `md` = '$id';");
        ShowMsg("對不起,臨時密碼修改期限已過期","login.php");
        exit();
    }
    require_once(dirname(__FILE__)."/templets/resetpassword2.htm");
}

相關推薦

DeDecms(CMS)新版任意使用者密碼漏洞分析

描述 Dedecms是一款開源的PHP開源網站管理系統。 影響產品 DeDecms(織夢CMS) V5.7.72 正式版20180109 (最新版) 由於前臺resetpassword.php中對接受的safeanswer引數型別比較不夠嚴格,遭受弱型別比較攻擊導致了

搭建dedecms(cms)框架

我們可以到官網下載 http://www.dedecms.com/ 下載完成後解壓,開啟資料夾我們能看到這兩個資料夾我們將uploads複製到  wamp\www  資料夾下開啟wamp在瀏覽器上輸入127.0.0.1\uploads進入到dedecms的後臺根據提示完成註冊

都是 htmlspecialchars的錯,解決 cms dedecms 標題不能為空 不支援php5.3 php5.4 php5.5版本

article_add.php  101行 $title = htmlspecialchars(cn_substrR($title,$cfg_title_maxlen)); 改成 $title = htmlspecialchars(cn_substrR($title

CMS教程:dedecms時間日期標籤大全

DEDECMS利用strftime()函式格式化時間的所有引數詳解,包括年份日期進位制、小時格式等,大家收藏吧,呵. 日期時間格式 (利用strftime()函式格式化時間)0 dedecms首頁時間標籤: 1、12-27 樣式 ([field:pubdate functi

生活服務行業cms模板免費下載

最新 在線 參數 bsp 瀏覽器 程序 fire blog image 模板介紹: 織夢最新內核開發的模板,該模板屬於生活服務行業企業通用類企業使用,自帶最新的手機移動端,同一個後臺,數據即時同步,簡單適用!原創設計、手工書寫DIV+CSS,完美兼容IE7+、Firefox

dedecms移動版偽靜態 - 實現與PC電腦版靜態地址url一致教程+偽靜態規則

intval 使用 nokia 說明 one 之前 列表 exit 技術 電腦版靜態效果 移動版偽靜態效果 以下教程所修改的文件(utf8/gbk)打包下載: 修改或者覆蓋文件之前請備份以下4個文件\m\index.php\m\list.ph

dedecms全站動靜態設插件

http 功能 ron 成才 選擇 .cn 批量 .com 欄目 很多時候,我們在用織夢做網站時都是一邊調試一邊制作,礙於靜態每次都要生成才能看到效果,所以我制作了這個全站動靜態設置插件,一鍵開關,大大方便了日常操作。 插件功能 批量修改[首頁][所有欄目][所有文章]動態

dedecms首頁分頁插件

.com 安裝方法 list 標簽 分頁 程序 http html生成 target 【警告】 如果你網站以下4個文件做過修改,使用前請備份這4個文件!!! /dede/task_do.php /dede/makehtml_homepage.php /dede/te

dedecms聯動篩選[偽靜態-目錄形式]

include href 變量名 glob src utf view itl 所屬組 演示效果 dedecms織夢聯動篩選[偽靜態-目錄形式],網站用的是靜態,篩選用的是偽靜態,篩選的偽靜態地址以字段和鍵值目錄形式呈現,讓篩選URL與靜態保持一致。如: 靜態欄目頁 ht

怎樣查看一個網站是否使用dedecms程序做的

標簽 ops temp get agen back 自己 站點 判斷 對於一個自己看上的好網站,我們總是迫不及待的想知道它是用什麽程序做的。然後自己也可以通過仿站、采集等做一個類似的站點。今天分享點如何判斷一個網站是否是使用的織夢DedeCMS程序制作的知識,以後看上哪個站

dedecms圖集在首頁列表頁調用並且自定義輸出幾張

ecms 自己的 str col cnblogs 前臺 get add getname 效果 不改動官方核心文件,在自定義方法文件裏加入個方法來實現 打開 \include\extend.func.php 在最下面加入這個方法 function Getimgurls(

dedecms手機模板使用和制作方法

window clas obi symbian ips 都在 只需要 自己的 註意事項 1、手機模板命名規則 在新織夢的default模板中,除了原有的模板外,多了些手機模板,主要手機模板如下: index_m.htm 首頁模板 index_defaul

cms文章內容頁上下篇單獨獲得URL和文章名稱修改

dedecms1、打開/include/arc.archives.class.php ,查找 $this->PreNext[‘pre‘] //約813行在其下一行插入:$this->PreNext[‘preurl‘] = "$mlink"; //上一篇鏈接地址$this->PreN

cms導航高亮顯示欄目及首頁的方法

網站 field 紅色 typeid 高亮顯示 php 亮顯 一定的 是否 直奔主題了,高亮顯示教程適用於您具有一定的CSS基礎才可以了,前提把高亮顯示的樣式寫好,然後再開始高亮顯示標簽適用。 <li {dede:field name=typeid runphp="y

dedecms列表頁調用TAG標簽並帶上鏈接的實現方法

調用 clas 添加 exp lob run 實現 lod tags 在需要調用的地方添加如下代碼: [field:id runphp=‘yes‘] global $cfg_cmspath; $tags = GetTags(@me);

cms標簽

cms標簽分類1)單標簽{dede:標簽名 屬性="值" ..../} {dede:include filename="head.htm"/}2)雙標簽{dede:標簽名 屬性="值" ....}.....{/dede:標簽名} {dede:chan

dedecms首頁被篡改 網站被黑被跳轉的解決辦法建議

導致 water 網站漏洞 過多 復雜 如何解決 權限 中秋 更改 2018年的中秋節即將來臨,我們Sine安全公司,最近接到很多用dedecms程序的企業公司網站客戶的反饋,說是公司網站經常被篡改,包括網站首頁的標題內容以及描述內容,都被改成了什麽×××,北京PK10等等

cms、帝國cms、PHPcms優缺點解析

php才是建站的主流,cms這類程式又是用的最多的,折騰網路這幾年,深圳網站建設也見證了國內這些cms的發展,不過,佔據主流的cms主要就是織夢,帝國,phpcms這三種的,這三個程式都是開源程式。國內使用者眾多。同樣,這三個程式自己都一直在折騰過。這其中的各個優缺點自己也還是有點體會的。

CMS增加複製文件功能

開啟後臺目錄(/dede)下archives_do.php約430行下新增: 1 /*----------------------------- 2 //複製文件 3 ------------------------------*/ 4 elseif ($dopost == 'copy

DedeCms釋出內容時間格式實現XX秒前、XX分鐘前

在include/extend.func.php最下面新增 function tranTime($time) { $rtime = date("m-d H:i",$time); $htime = date("H:i",$time); $etime = time() -