织梦搭网站-漏洞复现+漏洞影响范围

最新推荐文章于 2024-03-13 21:23:03 发布
最新推荐文章于 2024-03-13 21:23:03 发布
阅读量1.3k 收藏 10
点赞数 2
分类专栏: dedecms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Woolemon/article/details/109433782
版权

文章目录

简介

织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。

漏洞复现环境

PHP 5.6
Apache 2.4.39
MySQL 5.7
DeDeCMS V5.7 SP2正式版(2018-01-09)

安装DeDeCMS

下载渗透测试环境准备需要的phpstudy

下载渗透测试环境准备需要的phpstudy
phpstudy下载链接(点击)
跳转页面如图所示:
phpstudy下载

下载DeDeCMS

下载DeDeCMS
DeDeCMS下载链接(点击)
跳转页面如图所示:
织梦下载

安装dedecms

安装dedecms

  • 先我们将下载好的安装包解压,然后再将uploads这个文件拷贝到D:\phpStudy_pro\WWW或者D:\PHPstudy\PHPTutorial\WWW里(格式统一这样子哟)
    在这里插入图片描述

  • 然后启动.phpstudy的apache与mysql
    在这里插入图片描述

  • 点击网站,再点击创建网站(www.+自己起的名字+com)
    在这里插入图片描述

DeDeCMS(织梦)建站

  • 运行 http://域名/install/index.php
    域名是你所建的网站(如:www.ldfx.com)
    在这里插入图片描述
    输入网址 http://域名/install安装页面出现dir,没有出现安装界面怎么回事,把install文件夹下的index.html删掉,,你再看看install文件夹下有没有install_lock.txt 和index.php.bak 这2个文件,如果有把install_lock.txt 文件删掉,index.php.bak 改名改为index.php

  • 填写参数配置
    数据库密码为:root在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    恭喜你安装完成啦,但是还没有结束哟~

复现过程

  • 登录网站后台
    (在系统左边的最下面的那一项打开,就是上图的界面,把第一项的是否打开会员的否改为是)

在这里插入图片描述
再后退一步,并退出之前的admin帐号,重新注册一个test的帐号
在这里插入图片描述
注册测试账户 test,并不设置安全问题
在这里插入图片描述
成功啦:在这里插入图片描述
这个是我自己根据老师和大佬的提示的操作过程,希望能帮到大家!搭网站虽然是个枯燥的过程,但过程中也能学到很多,大家一起冲冲冲 * ^ *

漏洞影响范围

DeDeCMS基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于 DedeCms核心,是目前国内应用最广泛的php类CMS系统。
通过ZoomEye 网络空间探测引擎进行探测,以下为网络空间上所有的使用了DeDeCMS V5.7 SP2的网站或基于DedeCMS的核心开发,总数超过 97万条,设备总数超25万个,是目前最常见的建站工具之一:
在这里插入图片描述
下图为主要国家使用DeDeCMS V5.7 SP2的网站数量,其中中国和美国网站使用数量居榜前:
在这里插入图片描述
下图为目前DeDeCMS的相关漏洞:
在这里插入图片描述

w??oo.
关注
专栏目录
漏洞情报】复现任务
liangtaiwei的博客
12-13 2488
一、漏洞概述 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
[漏洞复现]织梦CMS前台任意用户修改密码
Sapphire037的博客
11-22 5110
1 复现环境 PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 复现过程 照葫芦画瓢,水一篇博客。 先下载好该版本的源码,然后解压,建过程具体看这篇文章 建好以后,反正我是不能直接访问首页的,我们先进入后台首页,默认用户名admin,密码admin。然后 打开会员功能,不然我们将无法访问member.php 然后访问http://127.0.0.1/DedeCMS/member/index.php这个看自己目录是多少来定,然后注册一个账号,用户名 密码都是test,然后登
织梦漏洞复现
m0_60429594的博客
12-13 1974
1、影响版本 DeDeCMSV5.7SP2 正式版(2018-01-09)DeDeCMS 前台任意用户密码修改漏洞 2、复现环境 PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 2 复现过程及结果 ①建立好网站,安装好DeDeCMS并注册好一个账号 ②查看好MID,test的mid=2 ③利用抓包软件抓到key ④key就是临时验证码,利用临时验证码即可修改密码,复现完成 ...
漏洞复现,DeDeCMS织梦
qq_53188113的博客
11-25 3124
目录 一、复现环境 二、复现过程及环境 一、复现环境 PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 二、复现过程及环境 安装 DeDeCMS 首先,利用PHPstudy安装环境 点击网站,进入后再点击创建网站,然后填写域名,可根据自己的需要来填写 回到文件夹,打开 DeDeCMS所在文件夹的uploads路径,把其下所有的文件复制到 studypro文件夹的www目录中即可 域名/install/ 进入安装页面 填写好..
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2121
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
织梦漏洞
showso2006的专栏
09-06 1020
<br />最近网站被人挂马,360狂报,真的很影响网站形象。<br />经检查,原来是织梦的模板机制漏洞,只要利用织梦的会员管理功能,发表文章,上传一个带有gif89a的欺骗图片,再访问那篇文章即可以执行脚本代码。然后实现上传木马脚本到网站,就可以为所欲为。<br /> <br />另外,即使你清除了木马,用360检查还是会报警的,只有等360再次检查时发现没问题,才会清除报警。如果要快,可以使用360的验证码嵌入到网站,登录自己的账号,点击验证,大概需要在半小时之后才会再次检查。
织梦任意前台密码修改漏洞复现
m0_57851357的博客
12-12 2830
一、背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 二、复现过程 所需环境: PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 过...
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,...Dedecms漏洞整理报告中包含了多个漏洞,包括SQL注入漏洞、XSS漏洞等,这些漏洞可能会导致数据库中的数据泄露或修改,因此需要及时修复这些漏洞,以确保数据的安全性。
复现任务】织梦CMS前台任意用户密码修改漏洞简报
weixin_52852770的博客
11-29 3411
漏洞概述 1 简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS 前台任意用户密码修改漏洞
织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些
sy_3714的博客
08-17 2576
文章目录使用织梦建站,阿里云中反馈了许多漏洞dedecms /include/payment/alipay.php支付模块注入漏洞修复方案织梦dedecms安全漏洞之/include/common.inc.php漏洞解决办法dedecms任意文件上传漏洞(select_soft_post.php)织梦cms/include/uploadsafe.inc.php漏洞修复方法 使用织梦建站,阿里云中反馈了许多漏洞 现在给大家整理一下织梦漏洞 dedecms /include/payment/alipay.ph
DedeCMS V5.7文件上传漏洞复现
weixin_51047454的博客
03-20 1308
CVE-2018-20129-DedeCMS V5.7 SP2前台文件上传漏洞复现 登录管理页面后,开启会员功能(默认是关闭的) 回到首页,用户登录后,点击会员中心。 打开内容中心(第一次进入会提示完善个人信息,完善一下,不然不能操作) 重点开始 4. 发表文章的表单最下方有一个图片的图标,点击可以选择上传图片到服务端。 制作图片码 上传 抓包修改文件后缀:p*hp 连接,成功 代码审计 为什么用.ph%p就可以绕过检测了?我们来看看源码中的问题部分。 找到图片的校验部分的源
织梦任意前台用户密码修改漏洞复现
FFFde博客
10-21 538
漏洞复现 1、phpstudy_pro和dedecms建一个网站 localhost建立的一个网站域名,生成一个存在路径 根据官网安装教程完成安装,127.0.0.1/uploads/dede/就是所创建的一个网址 2、使用火狐浏览器的FoxyProxy插件添加代理:127.0.0.1的8080端口 3、启动Burpsuite设置监听器 4、打开用户登录网站,点击忘记密码 ps:注册一个普通用户账号不设置安全密码(先输入,此时别发送请求) HackBar插件现在收费了,可以选择下载MAxHa
DedeCms织梦系统漏洞复现
最新发布
LIU6636LIU的博客
03-13 2057
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站,CMS建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
织梦dedecms漏洞修复大全(5.7起)
东北狼仙
01-27 1081
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复。修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,...
DedeCMS漏洞复现
qq_52223347的博客
03-10 1006
介绍 织梦CMS是集简单、健壮、灵活、开源几大特点的开源内容管理系统,目前占领了国内开源CMS的大部份市场,目前已经有超过三十万个站点正在使用织梦CMS或基于织梦CMS核心开发。 官方网站: http://www.dedecms.com/ 环境建 phpstudy 创建数据库 解压源码到www下 Dedecms_v5.7ps2 访问 DedeCMS/uploads/install/index.php 安装 安装完成–》登陆后台 任意文件操作漏洞复现 进到网站后台–》访问 dede/tpl.php?act
织梦漏洞利用
weixin_53210070的博客
12-14 1581
Dedecms网站建立 php打开网站,开始安装 漏洞利用原理 dedecms系统中使用了SQL语句防注入功能引了的安全警告。在自定义模模型中使用了union|sleep|benchmark|load_file|outfile之一都会引发这个警告,此外采集的内容,如果有‘union 这类语法也会出现在这个警告。解决办法就是把安全检查关掉,打开include下面的dedesql.class.php 和dedesqli.class.php,$this->...
DEDECMS曝重大安全漏洞 百万网站影响
darenkuke的博客
05-12 870
5月10日,达人酷IT研发安全中心发现国内著名建站工具DEDECMS(织梦系统)存在严重漏洞,黑客可以利用该漏洞获得此网站后台最高管理权限,从而窃取网站用户的个人帐号密码等私密信息或上传植入盗号木马病毒进行牟利。由于DEDECMS工具在国内使用率颇高,所以此次漏洞或将对国内百万网站产生威胁。目前腾讯电脑管家、360安全卫士已率先拦截利用该漏洞的钓鱼盗号网站,并通过达人酷官方网站提醒广大网站站长及时升级打上补丁,避免漏洞被利用。
dedecms 文件上传 (CVE-2019-8933)漏洞复现
weixin_42675091的博客
09-03 3471
dedecms 文件上传 (CVE-2019-8933)
织梦任意前台密码修改漏洞复现一 ——相关环境建与网站
qq_45746876的博客
10-15 479
先给大家科普一下织梦前台任意用户密码修改的漏洞: 简而言之就是,利用这个漏洞就可以修改使用该模板建的网站的任意用户的密码,听着是不是有一丢丢小恐怖?不慌,我们要做的就是复现这个漏洞,嘿嘿~ 本次漏洞复现所需要的工具: 1.织梦模板:DedeCMS-V5.7-UTF8-SP2 下载地址:http://www.dedecms.com/products/dedecms/downloads/ ps:本人下载的是UTF-8(国际通用)版本的,大家也可以下载GBK(国内使用)版本的,对于二者的区别,大家感兴趣的话可
织梦漏洞扫描工具 csdn
08-02
织梦漏洞扫描工具是一款专门针对织梦CMS(Content Management System)网站漏洞扫描工具。织梦CMS是国内常用的开源网站建设工具,但由于其源代码开放和普及度高,也容易受到黑客攻击。 织梦漏洞扫描工具csdn能够通过自动化的方式对织梦CMS网站中存在的安全漏洞进行快速检测和识别。它能够分析网站的存储在数据库中的源代码,检测其中可能存在的安全隐患,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。 使用织梦漏洞扫描工具csdn有以下几个优点: 1. 高效性:织梦漏洞扫描工具通过自动化的方式,快速地扫描整个网站,发现潜在的安全漏洞。相较于手工检测,它可以节省时间和精力,并提高漏洞检测的准确性。 2. 准确性:织梦漏洞扫描工具使用了智能化的扫描算法和漏洞库,能够主动识别常见的漏洞类型,并给出相应的修复建议。它可以检测出一些常见但容易被忽略的漏洞,从而提高网站的安全性。 3. 安全性:织梦漏洞扫描工具采用了安全的扫描机制,确保在扫描过程中不会对网站造成任何破坏或干扰。它只针对漏洞进行检测,并不会进行任何非法操作。 总之,织梦漏洞扫描工具csdn是一个强大的辅助工具,能够帮助网站管理员快速发现并修复潜在的安全漏洞,提高网站的安全性。但需要注意的是,该工具仅用于检测网站的安全性,真正的安全措施还需要综合其他方面的策略和措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值