本文档是脚踏实地小组针对DeDeCMS的漏洞复现报告,旨在通过复现2018年的任意用户密码修改漏洞,提高小组成员对网络安全的认识,特别是熟悉Burp工具的使用和漏洞抓包。报告涵盖项目背景、目的、实施计划,以及渗透测试的原理、流程、风险规避和收益。小组使用系统自带工具和自由软件进行渗透测试,包括System进程和远程桌面连接。测试过程中,小组制定了详细的方案,执行信息收集、测试实施、报告输出和安全复查,确保实验的顺利进行和安全修复的可靠性。
脚踏实地小组的漏洞复现报告
一、概述
1.1项目背景
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于 DeDeCMS前台任意用户密码修改漏洞的细节。2018 年 1 月 10 日,Seebug 漏洞平台收录该漏洞,漏洞编号为 SSV-97074,知道创宇 404 漏洞应急团队成功复现该漏洞。
1.2实施目的
(1)熟悉用DeDeCMS搭建网站;
(2)熟悉Burp工具的使用方法;
(3)会使用工具进行主机漏洞的抓包;
(4)通过实验了解如何提高主机的安全性;
漏洞是指用户的Windows操作系统程序或者其它应用程序在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可能被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制电脑,窃取用户电脑中的重要资料、信息以及虚拟财产等,甚至会破坏整个系统。漏洞复现的目的在于便于我们发现漏洞以及及时修复漏洞。而修复漏洞最基本的目的是及时有效的修复系统、软件漏洞,避免黑客通过植入木马\病毒等方法控制用户的电脑,窃取账号、密码等重要信息。保障用户的电脑安全。我们相信,凭借小组成员的共同努力,能够圆满地完成本次漏洞复现测试实验。同时,我们也希望能通过这次实验加深对网络信息安全的了解并怀着浓厚的兴趣参与到更多的网络渗透实验中去。
1.3服务目标
脚踏实地小组在本次漏洞复现测试实验中将达到以下目标:
(1)通过漏洞复现测试全面检测织梦内容管理信息系统直接暴露在互联网上的安全隐患,并提供实际可行的安全修复建议;
最低0.47元/天 解锁文章
扫一扫
4148
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
