1 复现环境
PHP 5.6
DeDeCMSV5.7SP2 正式版(2018-01-09)
2 复现过程及结果
安装 DeDeCMS
利用PHPstudy安装环境
www.wwwcwww.com(域名)/uploads/install/index.php进入安装页面。
查看密码:
安装完成:
注:开启会员模式后退出。
退出admin。
注册一个没有安全问题的账号
用admin账号可以看见test的账号为,mid=2.
用burp抓包得到key.
域名/member/resetpassword.php?dopost=getpasswd&id=2
这里的临时密码就是key。
修改密码成功。