dedecms5.7 sp2前台修改任意用户密码漏洞(复现)

最新推荐文章于 2024-08-03 16:43:27 发布
最新推荐文章于 2024-08-03 16:43:27 发布
阅读量8.2k 收藏 1
点赞数
分类专栏: Web安全 文章标签: dedecms 任意用户密码修改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_and/article/details/80988550
版权

dedecms5.7 sp2前台修改任意用户密码

前言

其实这个漏洞出来有一段时间了,不算是一个影响特别大的漏洞,毕竟dede是一个内容管理系统,用户这一块本来就基本没有用。该漏洞的精髓就是一个弱类型的比较:‘0.0’==‘0’

漏洞版本

该漏洞出现在最新版的dede上,我复现的版本是v5.7 sp2 utf8版本
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bcqxcNSc-1594221057557)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/e31IG2famk.png?imageslim)]

漏洞影响

允许用户修改任意前台用户的密码,不能对管理员账户造成影响,毕竟管理员账户与前台用户的数据表时分开存放的。而且,前台也不能直接登录管理员账户

漏洞利用条件

  1. 开启会员模块

  2. 攻击者拥有一个正常的会员账号

  3. 目标没有设置安全问题

由于dede默认是没有开启会员功能的,也就是我们不能注册用户,所以要复现该漏洞需要自己开启。请大家自行搜索开启
####漏洞复现
首先我先注册两个用户吧
攻击者:000001 密码:123
受害者:test 密码:123
由于dedecms注册用户需要审核,我这里是本地搭的,我直接在数据库里更改一下就行了。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-he0Z91Vu-1594221057561)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/k410EihHi4.png?imageslim)]
把-10改为0

update dede_member set spacesta=0 where mid=3

执行了该语句你注册的用户就相当于通过了审核了。
现在我们的目标就是把test用户的密码更改为hacker
第一步:
在登录000001用户的前提下,请求

http://{yourwebsite}/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id={userid}

通过burp抓包,并把这个请求发送的repeater中,可以看到返回的包中有一个链接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sPPjpKgt-1594221057569)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/fCK8DiCaK6.png?imageslim)]
我们直接访问该链接就可以看到一个更改密码的页面:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pUXe29xG-1594221057574)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/k5kLHfD2cc.png?imageslim)]
我们把密码改为hacker,然后试着登录下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sLRMzDkW-1594221057577)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/maDF7LFG93.png?imageslim)]
成功利用!下面我们具体来看看漏洞产生的原因
####漏洞分析
问题出现在resetpassword.php文件的75行处。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nbOGx8Mv-1594221057580)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/87LIF43dCc.png?imageslim)]
这里的代码大概意思就是把我们传过去的安全$safequestion以及$safeanswer与数据库中一开始用户设定的safequestion与safeanswer是否匹配,如果匹配则可以往下进行,相当于验证密保问题。我们要做的就是绕过这里的判断,因为我们这个攻击成功的前提就是用户没有设置密保问题,所以在数据库中safequestion的值如下图:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-55ntUTf2-1594221057583)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/hlHia7gBha.png?imageslim)]
这里需要做的主要是绕过对safequestion的判断,对safeanswer的判断不需要我们绕过,本身就是满足的。我们可不可以直接传一个safequestion=0过去呢?答案是不行的,因为0在php中empty测试时会返回true。所以我们需要绕过的还有empty这个函数
所以我们直接令safequestion=0.0,0.0可以绕过empty检查,而且由于if判断里面的比较是弱类型比较

0.0 == 0
//true

这样我们就会执行sn函数了,继续追踪一下吧,位于dedecms\member\inc\inc_pwd_functions.php
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wGr4mfPO-1594221057587)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/bJ9K3kG9Aa.png?imageslim)]

默认状态下,临时密码的表为空。所以会进入第一个判断,我们去看看newmail函数都做了什么吧。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9TFQmEKn-1594221057591)(http://pbr6eymqa.bkt.clouddn.com/blog/180713/LbKc5jgHF3.png?imageslim)]
主要代码我已经用红框圈出来了,第二个红框中的链接也就是最后修改密码链接,只要拿到它我们就可以改密码了。获得这个链接需要通过抓取返回包。

总结

整个流程大概就到这了,可以很清晰的看到该漏洞就是由于那个弱类型的比较,通过构造请求我们可以控制mid(越权),mid也就是不同用户的编号,所以我们可以更改几乎所有用户的密码,只是还不能对管理员做什么。当然这个漏洞结合另外一个dede漏洞可以更改管理员的密码,后续将会进行复现

在这里插入图片描述

tnt阿信
关注
专栏目录
漏洞复现DedeCMS存在文件包含漏洞导致后台getshell(CVE-2023-2928)
做自己喜欢的事,并将其发挥到极致!
05-31 3732
uploads/dede/article_allowurl_edit.php存在缺少对该文件中写入内容的任何过滤是导致该漏洞的因素之一,在5.7.106之前的DedeCMS中发现了一个漏洞。它已被宣布为关键。受此漏洞影响的是文件uploads/dede/article_allowurl_edit.php的未知功能。操纵参数allurls会导致代码注入。可以远程发起攻击获得网站控制权限。
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现
yghlqgt的博客
10-18 1073
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现 需要的用到的软件: phpstudy burpsuite 要完成该漏洞复现我们要完成如下几个步骤。 一、搭建网站 想要复现漏洞,首先需要搭建好环境,第一步就是要求我们搭建好这个有漏洞的网站, 首先下载好网页的代码:DeDeCMSV5.7SP2 正式版(2018-01-09) 然后要我们可以使用一些搭建网站的工具来搭建这个网站,我是用的工具是phpstudy,具体搭建步骤如下: 将下载DeDeCMSV5.7SP2 正式版(20
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3847
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
DeDeCMS漏洞
最新发布
weixin_53198216的博客
08-03 196
4.在生成下选择更新主页HTML,将主页位置后缀改为php,首页模式选择生成静态,再点击更新主页HTML。2.选择模板下的默认模板管理,找到index.htm。7.打开蚁剑,输入网址和密码点击测试连接,显示成功。6.复制到地址栏访问,没有显示内容证明注入成功。3.对这个文件进行编辑写入一句话木马并保存。5.出现一个更新后的路径。
dedecms 漏洞_DedeCMS任意用户密码重置漏洞
weixin_39636540的博客
11-29 890
漏洞环境Fofa搜dedecms漏洞危害重置系统的所有账号的密码影响范围DeDecms V5.7 SP2最新版本漏洞复现首先注册账号0000001/0000002登录成功通过登录抓包知道此账号对应的id号为16然后清除cookie退出浏览器,再次访问登录页面构造请求包生成poc/member/resetpassword.php?dopost=safequestion&safequ...
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改 漏洞复现(包括环境搭建)
aarong的博客
11-22 4095
目录一、漏洞概述二、环境搭建三、漏洞复现 一、漏洞概述 1 简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2 漏洞限制 ​ 1、 只影响前台账户 ​ 2、 只能修改
DeceCMS v5.7 SP2 正式版前台任意修改用户密码漏洞复现
b7b7b7b7的博客
12-02 401
简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 一、漏洞限制 1.只能影响前台账户; 2.只能修改未设置安全问题的账户。 二、影响版本 DeDeCMS v5.7 S
DeDeCMS前台任意用户密码修改漏洞复现.pdf
12-16
在本文档中,我们关注的是一个特定的安全漏洞,即DeDeCMS前台任意用户密码修改漏洞,该漏洞允许攻击者在满足特定条件的情况下,无需知道用户的安全问题就能重置任意用户密码。 该漏洞首先被Seebug漏洞平台收录,...
DedeCMS v5.7 SP2_任意修改前台用户密码
Fly_鹏程万里
06-07 925
影响范围 DedeCMS v5.7 SP2 漏洞危害 任意修改前台用户密码 攻击类型 任意修改前台用户密码 利用条件 1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题 漏洞简介 DedeCMS v5.7 SP2存在任意修改前台用户密码漏洞分析 漏洞文件:/member/resetpasswordd.php 漏洞分析:下面我们一步一步对整个密码重置的过程进行分析 在resetpasswordd.php文件的开头处首先包含进行了一些配置文件以及功能函..
任意用户密码重置(五):重置凭证可暴破
weixin_33772645的博客
04-02 221
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证可暴破导致的任意用户密码重置问题。 传送门: 任意用户密码重置(一):重置凭证泄漏 任意用户密码重置(二):重置凭证接收端可篡改 任意用户密码重置(三):用户混...
DedeCMS V5.7 SP1远程任意文件写入漏洞(CVE-2015-4553)
末初的CSDN博客
05-18 2499
文章目录漏洞原因漏洞影响版本漏洞原理分析漏洞复现 漏洞原因 uploads/install/index.php中对于全局传参遍历的处理不当造成可进行变量覆盖,进而导致远程文件上传Getshell 漏洞影响版本 <= Dedecms V5.7 SP1的所有版本 漏洞原理分析 uploads/install/index.php 对于全局传参遍历中的可变变量的写法${$_k}导致变量覆盖,RunMagicQuotes()每个参数的值进行了特殊字符转义处理 继续分析 uploads/install/i
dedecms 漏洞汇总
热门推荐
积木网络
02-29 1万+
Dedecms 5.6 rss注入漏洞   http://www.test.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2)) AND "'" AND updatexml(1,(SELECT CONCAT(0x5b,uname,0x3a,MID(pwd,4,16),0x5d) FROM dede_admin),1)#'][0]=1 DedeCms v5.6 嵌入
dedecms 漏洞_DEDECMS伪随机漏洞分析
weixin_39998859的博客
11-29 287
一 、本篇本文为“DEDECMS伪随机漏洞”系列第三篇,查看前两篇可点击底部【阅读原文】:第一篇:《DEDECMS伪随机漏洞分析 (一) PHP下随机函数的研究》第二篇:《DEDECMS伪随机漏洞分析 (二) cookie算法与key随机强度分析》根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点...
dedecms 文件上传 (CVE-2019-8933)漏洞复现
weixin_42675091的博客
09-03 3502
dedecms 文件上传 (CVE-2019-8933)
DeDecms(织梦CMS)最新版任意用户密码重置漏洞分析
3569
01-11 1万+
http://docs.ioin.in/writeup/xianzhi.aliyun.com/_forum_topic_1926/index.html DeDecms(织梦CMS) V5.7.72 正式版20180109 (最新版) 由于前台resetpassword.php中对接受的safeanswer参数类型比较不够严格,遭受弱类型比较攻击 导致了远程攻击者可以在前台会员中心绕过
DedeCms5.7 文件上传漏洞
weixin_53303754的博客
10-15 347
1.打开链接确定服务是否开启:2.登录后台账号密码为:admin\admin123。
dedecms上传漏洞uploadsafe.inc.php 整理
日拱一卒无有尽,功不唐捐终入海
09-06 1万+
自从买了阿里云的ecs 之后每次出现漏洞阿里云盾就会通知,前段时间部署的项目检测出上传漏洞 根据网上大神们的博客整理了下,下面这个是可行的 dedecms上传漏洞uploadsafe.inc.php,这里整理了大神们对于这个漏洞的解释 1. 漏洞描述 1. dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量 2. dedecms
dedecms5.7sp2安装
08-14
dedecms5.7sp2安装的步骤如下: 1. 首先,你可以在自己的电脑上安装织梦dedecms进行网站后台的熟悉以及站点的建立、调试。 [1] 2. 下载织梦dedecms安装所需的工具,并按照教程一步步进行操作。 [1] 3. 安装完成后,在自定义模型中使用了union、sleep、benchmark、load_file、outfile等语句可能会出现安全警告。 [2] 4. 为了解决这个问题,你需要打开源码目录下的dedesql.class.php和dedesqli.class.php两个文件,用文本编辑器打开。 [3] 5. 在这两个文件中找到safeCheck这个参数,将其修改为FALSE,即$this->safeCheck=FALSE; [3] 通过以上步骤,你就可以成功安装dedecms5.7sp2了。希望对你有帮助!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [织梦dedecms怎么安装?如何本地环境搭建网站?](https://blog.csdn.net/qq_43557623/article/details/112151218)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现](https://blog.csdn.net/m0_60466340/article/details/121586697)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改 漏洞复现(包括环境搭建)](https://blog.csdn.net/weixin_52497013/article/details/121468861)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值