织梦cms前台任意用户密码修改

最新推荐文章于 2023-10-29 14:53:23 发布
最新推荐文章于 2023-10-29 14:53:23 发布
阅读量734 收藏 2
点赞数 2
分类专栏: 漏洞复现 文章标签: 渗透测试 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rpsate/article/details/119178168
版权

基本信息

漏洞编号:SSV-97074
实验版本:dedecms v5.3
下载地址:http://www.dedecms.com/upimg/soft/2008/DedecmsV53-UTF8-Final.tar.gz
参考文章:https://www.seebug.org/vuldb/ssvid-97074
https://blog.csdn.net/qq_51569535/article/details/109211295
https://blog.csdn.net/l1028386804/article/details/48771375

前置知识

1.在php中进行不同类型数据比较是有以下特点

如果数据中有bool型,则全部转化为bool型比较,且true>false。
否则,如果有int型就转化为int比较。
否则,如果两边都是string型的纯数字,转为int比较。
否则就按string型比较。

2.举个例子
<?php
var_dump(0=='0.0'); // true
var_dump(0 == 'abc'); // true 
var_dump(1 == '1abc'); // true
var_dump('1e0'=='1e2'); // false
var_dump('0.0'==0); // true
var_dump('0.0'==''); //false

//还有下面这样的
if(md5('s878926199a')==0){
    echo 'true';
}
?>

因为 md5(‘s878926199a’)=0e545993274517709034328855841020就是0的n次方,所以还是等于0

<?php
if(strcmp('1a',1)){//此处比较为'1a'>1,strcmp与==比较方式不同('1a'==1为真)
    echo 'true';
}else {
    echo 'false';
}
?>

<?php
var_dump(in_array("1a", array(1,2,3))); //true
?>

以上In_array函数和array_search函数的问题可以在in_array函数后面加一个true选项,就能解决。

"0x1e240"=="123456"//true

"0x1e240"==123456//true

"0x1e240"=="1e240"//false

还存在一种十六进制余字符串进行比较运算时的问题。当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0×1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。

漏洞分析

dedecms/member/resetpassword.php //71行

else if($dopost == "safequestion")
{
    $mid = preg_replace("#[^0-9]#", "", $id);
    $sql = "SELECT safequestion,safeanswer,userid,email FROM #@__member WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(empty($safequestion)) $safequestion = '';
    if(empty($safeanswer)) $safeanswer = '';
    if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)
    {
        sn($mid, $row['userid'], $row['email'], 'N');
        exit();
    }
    else
    {
        ShowMsg("对不起,您的安全问题或答案回答错误","-1");
        exit();
    }
}

未设置安全问题的用户帐号的$row['safequestion']默认是为'0'(字符串),$row['safeanswer']

如果$safequestion'0',则empty($safequestion)为真。

如果$safequestion'0.0',则empty($safequestion)为假。

如果我们传入'0.0',则会顺利执行sn()函数。

跟进函数sn

function sn($mid,$userid,$mailto, $send = 'Y')
{
    global $db;
    $tptim= (60*10);
    $dtime = time();
    $sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(!is_array($row))
    {
        //发送新邮件;
        newmail($mid,$userid,$mailto,'INSERT',$send);
    }
    //10分钟后可以再次发送新验证码;
    elseif($dtime - $tptim > $row['mailtime'])
    {
        newmail($mid,$userid,$mailto,'UPDATE',$send);
    }
    //重新发送新的验证码确认邮件;
    else
    {
        return ShowMsg('对不起,请10分钟后再重新申请', 'login.php');
    }
}

这里从数据库取出来的值应该为空$sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";于是进入

if(!is_array($row))
    {
        //发送新邮件;
        newmail($mid,$userid,$mailto,'INSERT',$send);
}

注意一下$sendN

我们跟进newmail函数:

function newmail($mid, $userid, $mailto, $type, $send)
{
    global $db,$cfg_adminemail,$cfg_webname,$cfg_basehost,$cfg_memberurl;
    $mailtime = time();
    $randval = random(8);
    $mailtitle = $cfg_webname.":密码修改";
    $mailto = $mailto;
    $headers = "From: ".$cfg_adminemail."\r\nReply-To: $cfg_adminemail";
    $mailbody = "亲爱的".$userid.":\r\n您好!感谢您使用".$cfg_webname."网。\r\n".$cfg_webname."应您的要求,重新设置密码:(注:如果您没有提出申请,请检查您的信息是否泄漏。)\r\n本次临时登陆密码为:".$randval." 请于三天内登陆下面网址确认修改。\r\n".$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid;
    if($type == 'INSERT')
    {
        $key = md5($randval);
        $sql = "INSERT INTO `#@__pwd_tmp` (`mid` ,`membername` ,`pwd` ,`mailtime`)VALUES ('$mid', '$userid',  '$key', '$mailtime');";
        if($db->ExecuteNoneQuery($sql))
        {
            if($send == 'Y')
            {
                sendmail($mailto,$mailtitle,$mailbody,$headers);
                return ShowMsg('EMAIL修改验证码已经发送到原来的邮箱请查收', 'login.php','','5000');
            } else if ($send == 'N')
            {
                return ShowMsg('稍后跳转到修改页', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&amp;id=".$mid."&amp;key=".$randval);
            }
        }
        else
        {
            return ShowMsg('对不起修改失败,请联系管理员', 'login.php');
        }
}

这里直接是对dede_pwd_tmp表插入临时密码,临时密码为$randval = random(8);是8位,紧接着插入完成之后ShowMsg('稍后跳转到修改页', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);也就是说在insert完成之后跳转到了修改密码的页面,然后就可以修改密码了。

复现过程

1.配置dedecms

  1. 解压DedecmsV53-UTF8-Final并移入网站根目录。

  2. 打开首页,根据指引完成网站初始化。

    http://localhost/DedecmsV53-UTF8-Final/upload/

  3. 登录后台,并开启会员模块(5.3版本默认打开)。

    http://localhost/DedecmsV53-UTF8-Final/upload/dede/

在这里插入图片描述

2.注册会员

注册测hacker账号aaaaa,并且设置安全问题。

注册victim账号bbbbb,不设置安全问题。

在这里插入图片描述

3.找回密码

hacker用自己的账号通过安全问题找回密码

在这里插入图片描述

4.burpsuite抓包

开启代理,然后提交

用burpsuite抓包,并send to repeater

在这里插入图片描述

在这里插入图片描述

5.修改数据并发包

将id改为受害者id

userid不用管,这个参数并没有什么用

将safequestion设置成0.0

GO

查看返回数据,打开那个特别显眼链接

在这里插入图片描述

6.打开链接

这是怎么回事?

在这里插入图片描述

7.检查错误

参数中出现了奇怪的&amp;

其实这是&的url编码,直接提交会把&amp;再次编码

故将&amp;改成&即可

在这里插入图片描述

8.修改密码

在这里插入图片描述

漏洞复现完毕,感谢各位师傅阅读。

rpsate
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Burpsuit使用03:拦截请求并修改响应
汪敏的博客
06-16 6517
burpsuite是渗透的必备工具,使用它可以进行一些截包分析,修改包数据、暴力破解、扫描等功能,使用最多的场景应该是设置代理拦截数据包分析数据和爆破。
新版Burp Suit抓包拦截请求并修改响应
热门推荐
西凉的悲伤博客
05-27 1万+
1.安装Burp Suite 如果你没安装Burp Suite,可以参考 新版Burp Suite安装 进行安装 2.打开Burp Suit 点击next 点击Start Burp 3.点击Proxy (代理),选择 Intercept(拦截器) 2.1 点击Open Browser 会打开一个自带的浏览器,输入一个 url 网址回车。(我这里输入了 https://www.csdn.net/ 进行测试) 2.2 如果这个时候你想进行抓包可以点击 Intercept is off 开启开关进行抓包,然后
测试角度burpsuite修改request/response图文详细教程
xueyan2018的博客
03-28 1万+
本文主要应用到burpsuite的proxy功能模块,用于拦截浏览器的http会话内容。 proxy主要功能模块介绍 intercept 用于显示和修改HTTP请求和响应 http history 显示所有请求产生的细节 websocket history 用于记录WebSockets的数据包,是HTML5中最强大的通信功能,定义了一个全双工的通信信道,只需Web上的一个 Socket即可进行通信,能减少不必要的网络流量并降低网络延迟 options 用于设置代理..
记一次修改响应包绕过登录验证漏洞
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-18 4096
记一次修改响应包绕过登录验证漏洞 今天碰到一个某平台的修改响应包绕过登录验证漏洞,记录一下 登录页面 输入任意用户密码,BP截取数据包 选择Action => Do Intercept => Response to this request,之后Forward 放包 成功截取到响应包 修改响应包 Forwad 放包(后面的全部放过) 成功登录,继而实现了任意用户登录 参考 http://wiki.xypbk.com/Web%E5%AE%89%E5%8
Burpsuite响应包中文乱码问题解决
潇湘信安的博客
07-19 4834
响应包中如果存在中文字符时可能会出现乱码,可通过在User Options->Display修改以下两个选项来解决。
织梦cms手机生成静态页插件_织梦cms手机生成静态页插件_
09-29
手机生成静态页插件是针对织梦CMS的一个重要扩展,它允许用户为移动设备自动生成优化的静态页面,以提升手机用户的浏览体验,同时减轻服务器负担。 首先,我们要理解什么是静态页面。静态页面是预先生成的HTML文件...
DeDeCMS前台任意用户密码修改漏洞复现.pdf
12-16
在本文档中,我们关注的是一个特定的安全漏洞,即DeDeCMS前台任意用户密码修改漏洞,该漏洞允许攻击者在满足特定条件的情况下,无需知道用户的安全问题就能重置任意用户密码。 该漏洞首先被Seebug漏洞平台收录,...
摘自织梦CMS中的图片处理类
10-23
1. **织梦CMSDedeCMS)** 织梦内容管理系统(DedeCMS)是一个基于PHP和MySQL的开源CMS系统,它提供了丰富的网站建设和管理功能,包括文章发布、栏目管理、模板设计等。在这个系统中,开发者可以方便地进行网站的...
织梦cms 技术导航网站源码附带一万数据
08-20
织梦CMSDedeCMS)是一款广泛应用于网站建设的开源内容管理系统,它以其强大的模板引擎和易用性赢得了众多用户的喜爱。本技术导航网站源码包含了完整的织梦CMS框架,并附带了一万条预填充的数据,这使得用户可以...
织梦Cms百度小程序插件源码
03-30
将这两者结合的“织梦Cms百度小程序插件源码”,旨在帮助用户织梦CMS系统上无缝接入百度小程序,提升网站的移动互联网访问体验,同时扩大网站在百度平台的曝光度。 首先,我们要了解百度小程序的基础知识。百度小...
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
burpsuite抓包改包,url爬取相关工具
01-23
burp suite抓包工具可通过代理抓取web网站或手机app数据数据请求,修改、调试相关请求数据
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
如果运行不了,那么在命令行下允许 C:\Users\Administrator.USER-20180620GL> cd /D D:\soft\Burpsuite+1.7.26+Unlimited D:\soft\Burpsuite+1.7.26+Unlimited> java -jar BurpUnlimited.jar 一.设置代理:https://wenda.so.com/q/1370918176064761?src=140 首先在 IE选项--连接 页面中间选“从不进行拨号连接”,然后在 IE选项--连接--局域网设置里在“为LAN使用代理服务器”前的方框打勾,设置代理IP,端口 二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三.burp suite使用(二) --- 爆破 https://blog.csdn.net/jinzhichaoshuiping/article/details/47347243 send to intruder 点击positions,选择要爆破的密码所处位置,默认的选择是出现的所有数字,被用黄色标出。 点击右边的clear$,所有的标记 选择错误密码所在的位置,点击add$,于是密码所在的位置被标记。
关于burpsuite修改http包的http实验
03-27
提供http实验的源代码,将源代码放进网站的根目录下,然后通过数据包篡改的方式成功访问 http实验场景 http实验场景2 http实验场景3
Art2008 CMS 网站管理系统 v5.1 utf8
10-18
Art2008 CMS是一款具有强大的功能的基于ASP语言的网站管理软件,支持ACCESS数据库。Art2008 CMS是一款完全开源的程序,都毫无保留的完全开放源代码,用户不需额外安装其他DLL组件,其最大的特点是易用,标签或js调用方法,简单直观。  Art2008 CMS系统功能完善,覆盖面广、扩展性强、负载能力好、模板调用非常灵活、管理方便,因此不仅适合于建设一般企业、政府、学校、个人等小型网站,同时也适合于建设地方门户、行业门户等大中型网站。Art2008 CMS v5.1 更新2011-7-18(V5.1)1、 新增退回会员投稿时说明退回理由,同时有站内短信提醒功能;2、 新增专题静态功能;3、 新增自定义标签可以可视化编辑;4、 新增文章系统子栏目列表自动循环功能;5、 新增会员排行标签,设置参数可实现10种形式的会员图文并茂排行效果(如按资金,点数,发布文章数,发布产品数等等)6、 新增文章内容页生成静态文件命名规则,按照ID号命名 ;7、 加强对上传文件的内容过滤,提高安全性;8、 修复文章列表标题颜色不能随着添加文章时设置的标题颜色而改变;9、 修改留言列表标签,增
[漏洞复现]织梦CMS前台任意用户修改密码
Sapphire037的博客
11-22 5064
1 复现环境 PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 复现过程 照葫芦画瓢,水一篇博客。 先下载好该版本的源码,然后解压,搭建过程具体看这篇文章 搭建好以后,反正我是不能直接访问首页的,我们先进入后台首页,默认用户名admin,密码admin。然后 打开会员功能,不然我们将无法访问member.php 然后访问http://127.0.0.1/DedeCMS/member/index.php这个看自己目录是多少来定,然后注册一个账号,用户密码都是test,然后登
burpsuit的安装及抓包.改包
最新发布
2203_75773407的博客
10-29 348
首先安装java,点击红框内文件(如果以前安装过java并没有什么项目的话,建议将原来的java预载干净)如果抓包的网站是以https开头的则需要先安装证书才能进行抓包(证书的获取可以百度)点击红框,使其为intercept is on(开启状态),然后就可以开始抓包了。以火狐浏览器为例,可以先下载一个叫FoxProxy的插件(下载流程可以百度)可以在左边的Raw中直接改包,点击Send可以获得返回值。点击红框复制到一开始的二号框中,得到三号框的内容,复制。先将一号框的内容复制,再点击run。
使用Burpsuite进行抓包和改包
悦分享
07-09 1万+
一、建立burpsuite和浏览器的连接1. 打开burpsuite工具,在proxy中的Option下,看到对应的Interface为127.0.0.1:8080。与浏览器代理设置相同端口,保存。2. 在浏览器中的Internet Option中设置相同的IP地址以及端口号。3. 设置好之后,就可以开始抓包了。在burpsuite中的Proxy中的Intercept中进行抓包。4. 在浏览器中输入自己的用户名Yolanda 相当在浏览器端发送请求这样,burpsuite端就可以抓到浏览器端的请求消息 二、
burp suite修改应答包
Blog_inG的博客
09-05 7134
配置好burp suite代理之后,打开代理intercept is on。 截获到发送到代理的客户端请求之后,右键单击 DO intercept-->reseponse to this request. 即可修改应答包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rpsate

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值