【漏洞分析】DeDeCMS v5.7 SP2 正式版前台任意用户密码修改漏洞

最新推荐文章于 2025-03-21 16:00:05 发布
最新推荐文章于 2025-03-21 16:00:05 发布
阅读量2.4k 收藏 39
点赞数 33
分类专栏: 网络渗透测试 漏洞分析 文章标签: 安全 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44655084/article/details/134924670
版权

【漏洞分析】DeDeCMS v5.7 SP2 正式版前台任意用户密码修改漏洞

一、 漏洞概述

1.简介

织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。

2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改漏洞的细节。

2018 年 1 月 10 日,Seebug 漏洞平台收录该漏洞,漏洞编号为SSV-97074,知道创宇 404 漏洞应急团队成功复现该漏洞。

2. 漏洞限制

只影响前台账户

只能修改未设置安全问题的账户

3. 影响版本

DeDeCMSV5.7SP2 正式版(2018-01-09)

二、 漏洞分析

1. 产生原因

**类型转换问题:**类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

2. 过程分析

该漏洞便是由于php的自动类型转换导致的,具体位置在member/resetpassword.php的第84行:

在这里插入图片描述
从这段判断的开始看起:

77行取* i d ∗ 中的数字部分作为 ∗ id*中的数字部分作为* id中的数字部分作为mid*;

78行构建取数据库*#@__member*表中mid列值为$mid对应的safequestion,safeanswer,userid和email列的指令;

79行将刚刚得到的 s q l 指令执行的结果赋值给 sql指令执行的结果赋值给 sql指令执行的结果赋值给row;

80、83行分别判断 s a f e q u e s t i o n 、 safequestion、 safequestionsafeanswer的值是否为空字符串,若是则将其赋值为’';

此处便是利用该漏洞的关键:

已知帐号默认的 r o w [ ′ s a f e q u e s t i o n ′ ] 是 ′ 0 ′ (字符串), row['safequestion']是'0'(字符串), row[safequestion]0(字符串),_GET[‘safequestion ’]传过来的值为字符串,并且在php中:

<?php
echo empty("0");  // true
echo empty("0.0"); // false
echo '0'=="0.0"  // true
?>

要满足传入的$safequestion参数能通过80、84行的判断,可以利用以下url:

http://127.0.0.1/dedecms/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=4

将传入的$safequestion值设为"0.0",便可以通过80、84行的判断;

至于$safeanswer本身就为空,所以不用理,id则是你想要修改的账号的mid。

84行将刚刚经过判断的 s a f e q u e s t i o n 、 safequestion、 safequestionsafeanswer和从数据库中取到的 r o w [ ′ s a f e q u e s t i o n ′ ] 、 row['safequestion']、 row[safequestion]row[‘safeanswer’]进行比较是否相等,若都满足则进入sn()函数,并且传入的$send参数为’N’:

在这里插入图片描述

可见sn()函数仅是用作限制10分钟内重复发送验证码,由于是第一次请求发送,所以在161行进入newmail()函数,并且传入的$type参数为’INSERT’:

在这里插入图片描述

根据$type的值从第86行进入if判断:

88行出现关键变量 k e y 和 key和 keyrandval, k e y 是保存在数据库中的临时密码, key是保存在数据库中的临时密码, key是保存在数据库中的临时密码,randval则是修改密码时需要的临时验证码,用于和内部的$key进行比较来实现身份验证;

从77行跟进random()函数得知$randval是一个8位的随机字符串:在这里插入图片描述

然后 r a n d v a l 经过 m d 5 ( ) 函数加密得到 randval经过md5()函数加密得到 randval经过md5()函数加密得到key;

之前传过来的$send参数值为’N’,故跳到96行;

在98行的ShowMsg()中包含““&key=”. r a n d v a l ”,所以可知 randval”,所以可知 randval,所以可知randval的值包含在将要跳转的url中(可使用bp抓包获得);

而根据要跳转的url:

$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&amp;id=".$mid."&amp;key=".$randval

在这里插入图片描述

由于该url中直接将$key以GET的方式传入,故125-128行的判断可以通过,所以直接访问抓包获得的url便可以修改密码。

三、 漏洞影响

通过 ZoomEye 网络空间探测引擎进行探测,以下为网络空间上所有的使用了 DeDeCMS 的网站,总数超过100万条:

在这里插入图片描述

四、 相关链接

[1] DeDeCMS 官网

http://www.dedecms.com/

[2] 漏洞详情原文

https://mp.weixin.qq.com/s/2ULQj2risPKzskX32WRMeg

[3] Seebug 漏洞平台

https://www.seebug.org/vuldb/ssvid-97074

DeDeCMS v5.7 SP2 正式版前台任意用户密码修改漏洞
taoze7892203的博客
11-10 1052
DeDeCMS v5.7 SP2 正式版前台任意用户密码修改漏洞的简单复现
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3940
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
DedeCMS V5.7前台文件上传漏洞(CVE-2018-20129)
最新发布
m0_65761158的博客
03-21 760
安装PHPstudy导入源码打开软件后,点击网站,自己新建一个网站,随便起一个域名如:www.xxx.xom随后点击管理进入部署的网站的根目录, 将事先准备的DedeCMS的源码包解压,并将uploads文件夹复制进根目录中。按照提示继续,直到出现用户界面,这里的数据库密码来自于phpstudy中数据库的密码,还要记住你自己的用户名及密码,之后会登录会需要,然后继续即可。返回地址是:/DedeCMS/uploads/uploads/allimg/240527/1-24052H31ITP.php
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改(漏洞复现)
m0_72827793的博客
12-03 982
打开源码目录下D:\phpstudy_pro\WWW\dedecms\include,找到dedesql.class.php和dedesqli.class.php两个php文件,用notepad++打开,然后ctrl+F寻找safeCheck,把TURE改为FALSE,关闭安全检查。就是这里的判断出现了问题,因为使用了不够严谨的 == 进行了比较,导致if语句的条件为真,就会进入分支,进入sn函数。然后放回页面,退出我们的账号,来到下面这个页面。如果他会让你下载,点击是就好!然后按着以下教程安装就好!
dedecms v5.7(build 20150618)的12漏洞
热门推荐
ccfxue的博客
06-28 1万+
一打开阿里云后台,发现了12个加急处理的漏洞,还没来得及了解阿里云的漏洞检测原理,直接开始着手修复漏洞searching on baidu... ...  : )1.dedecms支付模块注入漏洞 描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。解决:找到 ...
DedeCMS-V5.7.82-UTF8织梦管理系统漏洞
weixin_57240513的博客
08-03 696
将靶场环境放到www目录下——访问/dedecms/uploads同意协议——继续继续配置后——点击继续进入后台登录后台——填写用户密码
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现
yghlqgt的博客
10-18 1278
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现 需要的用到的软件: phpstudy burpsuite 要完成该漏洞的复现我们要完成如下几个步骤。 一、搭建网站 想要复现该漏洞,首先需要搭建好环境,第一步就是要求我们搭建好这个有漏洞的网站, 首先下载好网页的代码:DeDeCMSV5.7SP2 正式版(2018-01-09) 然后要我们可以使用一些搭建网站的工具来搭建这个网站,我是用的工具是phpstudy,具体搭建步骤如下: 将下载DeDeCMSV5.7SP2 正式版(20
DeceCMS v5.7 SP2 正式版前台任意修改用户密码漏洞复现
b7b7b7b7的博客
12-02 453
简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 一、漏洞限制 1.只能影响前台账户; 2.只能修改未设置安全问题的账户。 二、影响版本 DeDeCMS v5.7 S
DedeCMS V5.7 SP2存在代码执行漏洞分析(CNVD-2018-01221)
wednesday的博客
07-15 658
该问题是一个由任意文件上传带来的代码执行漏洞,由于本身要求上传php结尾文件,再加上未对上传文件内容进行检查,所以导致了该漏洞漏洞产生在/dede/tpl.php,由此可见要利用该漏洞你得登录进后台。问题产生在代码251行开始。代码详解如下图 漏洞复现: 前提是你得通过其他方法进入到dede的后台,比如弱口令啥的。 然后由上述图片中csrf_check()函数会校验token,所以我们得先获取到token。 要怎么才能获取到token呢?我们再去tpl.php里看一下,发现ac
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改 漏洞复现(包括环境搭建)
aarong的博客
11-22 5070
目录一、漏洞概述二、环境搭建三、漏洞复现 一、漏洞概述 1 简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2 漏洞限制 ​ 1、 只影响前台账户 ​ 2、 只能修改
dedecms 漏洞_DEDECMS伪随机漏洞分析
weixin_39998859的博客
11-29 332
一 、本篇本文为“DEDECMS伪随机漏洞”系列第三篇,查看前两篇可点击底部【阅读原文】:第一篇:《DEDECMS伪随机漏洞分析 (一) PHP下随机函数的研究》第二篇:《DEDECMS伪随机漏洞分析 (二) cookie算法与key随机强度分析》根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点...
DedeCMS 未授权远程命令执行漏洞分析
Keepb1ue的博客
04-12 1427
DedeCMS是国内专业的PHP网站内容管理系统-织梦内容管理系统,采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板、网站升级转移均提供很大的便利,健壮的模板标签为站长DIY自己的网站提供了强有力的支持。高效率标签缓存机制:允许对同类的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源。模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求。
Dedecms5.7漏洞利用
qq_48732306的博客
11-07 1362
Dedecms5.7渗透测试 Dedecms5.7由于编程的问题,有一个可以直接篡改用户密码漏洞,一下是复现过程: 一:启动环境: 首先要进行dedecms的安装,其下载地址为:] DeDeCMS 官网 http://www.dedecms.com/ [2]。 不过要安装dedecms还要搭建好服务器,而我选择的是使用warmpserve来搭建的,这个软件包含了apache2,php与mysql数据库,安装了就可以一键运行服务器。 Dedecms的安装包含了两个文件,把uploads那个文件放在warms
DedeCMS存在的安全漏洞及编程解决方案“
HackSquad的博客
10-03 691
本文介绍了DedeCMS中常见的安全漏洞,包括SQL注入漏洞、文件上传漏洞和跨站脚本漏洞,并提供了相应的编程解决方案。在开发和使用DedeCMS时时,务必注意安全性,并采取适当的措施来防止这些漏洞的利用。在本文中,我们将详细介绍DedeCMS常见的安全漏洞,并提供相应的编程解决方案。为了防止文件上传漏洞,应该对上传的文件进行严格的验证和过滤。可以检查文件的扩展名、文件类型、文件大小等,并将上传的文件存储在一个独立的目录中,避免直接执行上传文件。为了防止跨站脚本漏洞,应该对用户输入的内容进行适当的转义。
DeDeCMS漏洞
weixin_53198216的博客
08-03 287
4.在生成下选择更新主页HTML,将主页位置后缀改为php,首页模式选择生成静态,再点击更新主页HTML。2.选择模板下的默认模板管理,找到index.htm。7.打开蚁剑,输入网址和密码点击测试连接,显示成功。6.复制到地址栏访问,没有显示内容证明注入成功。3.对这个文件进行编辑写入一句话木马并保存。5.出现一个更新后的路径。
DedeCMS5.7远程文件包含漏洞分析
shelter1234567的博客
09-13 466
访问第二个payload,由于../data/admin/config_update.php为空 $updateHost失去了定义,可以被变量覆盖到, $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";利用 $install_demo_name可控的方式将config_update.php 写入空 让其中的$updateHost失去定义, 写入空执行找不到对应的文件为空, $sql_content 自然就为空。如果业务还有以下代码。
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2489
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
DedeCMS-V5.7-UTF8-SP2漏洞
01-04
### 关于DedeCMS V5.7 UTF8 SP2版本安全漏洞详情 #### 前台任意用户密码修改漏洞DedeCMS v5.7 SP2 版本中存在前台任意用户密码修改漏洞,此漏洞允许攻击者通过特定请求路径绕过正常的身份验证流程来更改任何用户密码。这一行为严重威胁到系统的安全性以及数据隐私[^2]。 对于该漏洞的具体实现细节,在`album_add.php` 文件内并未直接涉及核心逻辑处理部分;而是由于其他地方存在的设计缺陷所引发的问题。通常情况下,此类问题源于输入校验不足或是权限控制机制上的疏漏[^1]。 #### 环境搭建与测试条件 为了重现上述提到的漏洞现象并进行进一步研究,可以基于推荐配置——Linux操作系统搭配Apache服务器、PHP解释器(建议选用5.25.3版本之间)、MySQL数据库管理系统建立相应的运行环境[^3]。 值得注意的是,虽然官方文档提供了较为宽松的技术栈兼容范围说明,但在实际操作过程中仍需注意不同组件间可能产生的适配性差异。 ### 修复措施 针对已知的安全隐患,采取如下改进方案: - **加强身份认证**:确保每次敏感操作前都严格检查当前会话状态的有效性和合法性; - **完善参数过滤**:对来自客户端的所有输入进行全面清洗,防止恶意构造的数据进入业务逻辑层; - **更新补丁程序**:及时安装由开发者发布的最新安全修补包,以获得更好的防护效果。 ```bash # 更新命令示例 (假设使用yum作为包管理工具) sudo yum update dedecms ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值