DeDeCMS前台任意用户密码修改漏洞渗透复现(使用Burp suite)

主要是在自己的电脑里搭建织梦网站,并对其进行漏洞渗透

搭建网站

~搭建网站的场合

使用PHPstudy软件进行网站的搭建,phpstudy下载直接百度官网即可。
在这里插入图片描述
按照图示流程即可,需要注意的是根目录是 phpstudy根目录下的WWW目录。
记住自己填写的域名

安装DeDeCMS

DeDeCM官网

在这里插入图片描述
选择UTF8下载
下载后解压会出现两个文件夹
在这里插入图片描述
安装的具体操作可以查看docs内的readme文档,如下

二、程序安装使用
1.下载程序解压到本地目录;
2.上传程序目录中的/uploads到网站根目录
3.运行http://www.yourname.com/install/index.php(yourname表示你的域名),按照安装提速说明进行程序安装

这里简单描述一下流程和注意点:
1、打开php安装目录下的WWW文件夹,将uploads文件夹复制过去即可,也可以直接复制uploads内的文件,这两者只是在后面安装时路径有些许改变(如果后面不成功,请尝试把WWW文件夹下的所有内容删除后再复制)
2、浏览器访问http://www.yourname.com/uploads/install/index.php
如果是直接复制uploads内文件的话 访问http://www.yourname.com/install/index.php
原理其实就是访问install文件夹内的index.php文件来实行安装
路径的改变是因为安装DeDeCMS需要访问其install文件夹的index.php文件
所以按照你的实际情况来增加或者删除一些部分即可 一定要确认好路径不然就会频频掉坑
如果路径一直修改也不能正常打开织梦安装界面(如下)
在这里插入图片描述
请尝试直接通过访问 http://127.0.0.1/ 打开安装界面

(127.0…0.1的地址是主机IP堆栈内部的IP地址)

如果萌萌看我的博客
希望看到这里的萌萌不要因为我帮她建站的时候路径给她多加了一个/member/建站不成功而打我
(member文件夹是建站成功后有用户才有的)

一路next过去就建站完成了,登录管理员,把会员和会员注册权限打开就可以注册普通用户账号了

至此已经在本机模拟了一个环境,可以开始进行漏洞渗透了

使用Burp suite获取链接

打开Burp suite开始拦截然后打开
http://www.suibian.com/uploads/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1
放包后能够获取以下链接(suibian是我随便写的域名 不用理我)
在这里插入图片描述

把这个链接复制即可 (注意 一次抓不到的话由于网站限制需要等待十分钟 所以最好一次成功)

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Burp Suite是一款常用的Web应用程序的漏洞扫描工具。使用Burp Suite可以帮助你发现和利用Web应用程序中的安全漏洞。 以下是使用Burp Suite进行漏洞扫描的基本步骤: 1. 配置代理:首先,你需要将Burp Suite配置为代理服务器。你可以在Burp Suite的Proxy选项卡中配置代理监听端口,并确保你的浏览器将所有流量发送到该代理。 2. 浏览应用程序:使用你喜欢的浏览器访问目标应用程序,并确保所有流量都经过Burp Suite代理。 3. 扫描目标:在Burp Suite的Target选项卡中,将目标URL添加到目标范围。你可以使用Burp的自动目标规划工具或手动添加目标URL。 4. 运行扫描:在Burp Suite的Scanner选项卡中,选择要运行的扫描类型。常见的扫描类型包括SQL注入、跨站脚本(XSS)等。单击“开始扫描”按钮来启动扫描。 5. 查看扫描结果:一旦扫描完成,你可以在Burp Suite的Scanner选项卡中查看扫描结果。它会显示发现的漏洞漏洞的详细信息。 6. 进行漏洞验证和利用:如果扫描发现了漏洞,你可以使用Burp Suite的其他功能进行进一步验证和利用。例如,你可以使用Burp Suite的Intruder工具进行漏洞利用。 请注意,使用Burp Suite进行漏洞扫描需要你具备一定的安全知识和技能,以确保扫描过程的合规和安全性。在使用Burp Suite进行扫描之前,请确保你已经取得了合法的授权,并且仅对你有权限测试的目标进行扫描。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值