-
首先定位到member/resetpassword.php,代码开头未相关文件的包含操作,然后接受了一个叫dopost和id的变量。
-
接下来是if选择结构通过参数dopost的值来判断接下来将要进行的操作,如果dopost为空则跳转到resetpassword.html,如果$dopost == "getpwd"则进行验证验证码等等操作,如果$dopost == "safequestion"则可以跳过验证验证码等操作直接开始验证用户输入的问题和答案是否与数据库中查询的一致,问题便从这里开始。
-
首先要知道,在dedecms的数据库中,如果用户没有设置安全问题则数据库里存储的safequestion默认为"0",safeanswer默认为'null',如下图画红线处的的判断是php的弱类型判断,即0.0是可以等于0的,为什么要用0.0呢,因为这一句上面还对$safequestion进行了是否为空的判断,而emtpy函数把值为0也会认为为空,所以取0.0或者十六进制的0x0都行,再由于safeanswer默认值本来就是null,所以这个就让其置为空或不进行手动传参都可,这样$dopost=safequestion,$safequestion=0.0,$id=修改密码目标用户的id(id格式如下图二),就可以跳转到sn函数
-
进入sn函数,sn函数有四个参数传入$mid,$userid,$row['userid'],$row['email'],N;这几个分别是用户传入的目标用户id,数据库查询获得的用户id,数据库查询获取的email,和N字母。在sn函数中,首先会以id为条件查询是否用户是否存在即查询结果是否为数组。如果存在则在划红线出进入newmail函数。
-
进入到newmail函数,该函数功能是通过$type参数来判断是插入新数据还是更新旧数据,由 上一步sn函数中我们传入的$type是update,与是我们直接关注 elseif($type == 'UPDATE')下的操作,又因为传入的$send是N,所以会返回一条连接·用于跳转到修改密码解码如下图二,该连接拼接了一个8位随机数md5加密后的值如下图一,只要获得该连接访问即可修改密码了。
-
利用方法,首先注册一个用户,登录然后访问http://xx.xx.xx.xx/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id=4,拦截响应会看到修改界面的url,然后访问该url(去掉amp和分号)
-
然后会跳转到修改界面
DedeCMS v5.7 SP2_任意修改前台用户密码漏洞分析
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
