login.php gotopage,DedeCMS前台鸡助Getshell漏洞

最新推荐文章于 2023-01-06 18:04:17 发布
最新推荐文章于 2023-01-06 18:04:17 发布
阅读量443 收藏
点赞数
文章标签: login.php gotopage

@phpice 后台再次编辑有问题,先把你的回复用我的账号发,晚点给你恢复过来

我在16年的时候也以为是一个前台的漏洞,并提交给了先知,被驳回了,再后来我仔细测试后发现其实这是一个后台漏洞。

如果不仔细读代码确实很容易被误导。

你能在本地测试成功是因为你先登录了后台,此时已经存在了一个登录后台成功的session,然后再没用注销登录的情况下直接访问member目录,这个时候前台自动登录了admin账号,然后你想注册一个新会员,嗯,然后你前台注销登录。此时看起来好像没有任何问题,但就是这个操作让我们都以为注销成功了,其实并没有,这个时候只是注销了前台的登录,并没有注销后台的登录,回过头来,我们继续注册会员,登录会员,这个时候的所有操作都是基于前面那个登录后台成功的session进行的。贴一段代码

//检验用户登录状态

$cuserLogin = new userLogin();

if($cuserLogin->getUserID() <=0 )

{

if(empty($adminDirHand))

{

ShowMsg("提示:需输入后台管理目录才能登录

请输入后台管理目录名:", "javascript:;");

exit();

}

$adminDirHand = HtmlReplace($adminDirHand, 1);

$gurl = "../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);

echo "";

exit();

}

class userLogin

{

var $userName = '';

var $userPwd = '';

var $userID = '';

var $adminDir = '';

var $userType = '';

var $userChannel = '';

var $userPurview = '';

var $keepUserIDTag = 'dede_admin_id';

var $keepUserTypeTag = 'dede_admin_type';

var $keepUserChannelTag = 'dede_admin_channel';

var $keepUserNameTag = 'dede_admin_name';

var $keepUserPurviewTag = 'dede_admin_purview';

var $keepAdminStyleTag = 'dede_admin_style';

var $adminStyle = 'dedecms';

//php5构造函数

function __construct($admindir='')

{

global $admin_path;

if(isset($_SESSION[$this->keepUserIDTag]))

{

$this->userID = $_SESSION[$this->keepUserIDTag];

$this->userType = $_SESSION[$this->keepUserTypeTag];

$this->userChannel = $_SESSION[$this->keepUserChannelTag];

$this->userName = $_SESSION[$this->keepUserNameTag];

$this->userPurview = $_SESSION[$this->keepUserPurviewTag];

$this->adminStyle = $_SESSION[$this->keepAdminStyleTag];

}

if($admindir!='')

{

$this->adminDir = $admindir;

}

else

{

$this->adminDir = $admin_path;

}

}

/*

........

*/

function getUserID()

{

if($this->userID != '')

{

return $this->userID;

}

else

{

return -1;

}

}

通过代码可以发现 $this->userid必须不能等于空,$this->userid就是$_SESSION[$this->keepUserIDTag]

也就是$_SESSION['dede_admin_id'];

我们看看$_SESSION['dede_admin_id']是在什么情况下会被赋值

function keepUser()

{

if($this->userID != '' && $this->userType != '')

{

global $admincachefile,$adminstyle;

if(empty($adminstyle)) $adminstyle = 'dedecms';

@session_register($this->keepUserIDTag);

$_SESSION[$this->keepUserIDTag] = $this->userID;

@session_register($this->keepUserTypeTag);

$_SESSION[$this->keepUserTypeTag] = $this->userType;

@session_register($this->keepUserChannelTag);

$_SESSION[$this->keepUserChannelTag] = $this->userChannel;

@session_register($this->keepUserNameTag);

$_SESSION[$this->keepUserNameTag] = $this->userName;

@session_register($this->keepUserPurviewTag);

$_SESSION[$this->keepUserPurviewTag] = $this->userPurview;

@session_register($this->keepAdminStyleTag);

$_SESSION[$this->keepAdminStyleTag] = $adminstyle;

PutCookie('DedeUserID', $this->userID, 3600 * 24, '/');

PutCookie('DedeLoginTime', time(), 3600 * 24, '/');

$this->ReWriteAdminChannel();

return 1;

}

else

{

return -1;

}

}

在看看keepUser 是什么时候被调用的。

//登录检测

$admindirs = explode('/',str_replace("\\",'/',dirname(__FILE__)));

$admindir = $admindirs[count($admindirs)-1];

if($dopost=='login')

{

$validate = empty($validate) ? '' : strtolower(trim($validate));

$svali = strtolower(GetCkVdValue());

if(($validate=='' || $validate != $svali) && preg_match("/6/",$safe_gdopen)){

ResetVdValue();

ShowMsg('验证码不正确!','login.php',0,1000);

exit;

} else {

$cuserLogin = new userLogin($admindir);

if(!empty($userid) && !empty($pwd))

{

$res = $cuserLogin->checkUser($userid,$pwd);

//success

if($res==1)

{

$cuserLogin->keepUser();

if(!empty($gotopage))

{

ShowMsg('成功登录,正在转向管理管理主页!',$gotopage);

exit();

}

else

{

ShowMsg('成功登录,正在转向管理管理主页!',"index.php");

exit();

}

}

//error

else if($res==-1)

{

ResetVdValue();

ShowMsg('你的用户名不存在!','login.php',0,1000);

exit;

}

else

{

ResetVdValue();

ShowMsg('你的密码错误!','login.php',0,1000);

exit;

}

}

//password empty

else

{

ResetVdValue();

ShowMsg('用户和密码没填写完整!','login.php',0,1000);

exit;

}

}

}

只有在后台登录的时候被调用。前台压根就没办法对session进行操作,没有办法控制session就没有办法绕过这个if($cuserLogin->getUserID() <=0 )判断,所以,这是一个假漏洞。

========================================================================

抛开认证问题,就上传绕过来说,同目录下的select_soft_post.php文件更好绕过

把上传文件名改成1.htm.php?

文件类型只要有text就行

华天清
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前台页面分页,也可以进行跳转,以及首页和末尾页的转到
12-20
- `jquerypage.gotoPage(pageNum)`: 跳转到指定页码。 - `jquerypage.prevPage()`: 转到上一页。 - `jquerypage.nextPage()`: 转到下一页。 - `jquerypage.firstPage()`: 转到首页。 - `jquerypage.lastPage()`: 转...
jquery.pageFoot脚本分页
03-09
- **页码输入框**:可以添加一个输入框让用户直接输入页码,然后通过监听`keyup`事件,调用`goToPage`方法实现快速跳转。 ### 5. 示例代码 下面是一个完整的HTML示例,演示了如何在页面中使用`jQuery.pageFoot`...
login.php入侵,Glossword 'login.php' SQL 注入漏洞
weixin_36391973的博客
04-12 521
发布日期:2013-02-05更新日期:2013-02-27受影响系统:sourceforge glossword 1.8.3描述:--------------------------------------------------------------------------------BUGTRAQ ID: 57732Glossword是创建和发布在线多语言字典、词汇或百科全书的系统。Gl...
friendlink main.php,灰盒测试之织梦dedecms 5.7 官网最新版 Getshell
weixin_29019241的博客
04-03 436
很久之前一直用dedecms做二次开发、直接做模版就好了,偶尔要写原生的php代码与dede交互,简单的了解了下里面的model,并未深入,dedecms漏洞那么多、、、能不能也找出一个漏洞呢。 下载了官网最新的程序研究了下。在前台有个提交友情链接的地方,链接是:/plus/flink_add.php,估计以前可能这里存在xss的吧。反正现在是修复了,不过发现传入的链接,在后台可以直接打开,这样就...
非法操作 login.php,【最新重磅】深信服 EDR终端检测响应平台-任意用户免密登录漏洞...
weixin_36285258的博客
04-01 386
注:本文仅供学习使用,请勿用于非法操作,后果与作者无关!0x01 介绍深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。0x02 ...
php写入织梦,dedeCMS远程写入getshell(测试版本V5.7)
weixin_39645041的博客
03-12 218
漏洞必须结合apache的解析漏洞:当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。dede在安装完成,如果没有删除install文件夹,在install下会有一个index....
php登录 无漏洞,AKCMS 6.0 /akcms/login.php 登录绕过漏洞
weixin_28987735的博客
04-10 344
漏洞的问题出现在login.php中,由于编码采用GBK,而对$post_username变量没有进行严格的过滤和转义,导致可以绕过SQL防护,实现注入,下面针对此漏洞进行详细分析。首先在login.php中第4行```if(isset($post_loginsubmit)) {if($editor = $db->get_by('*', 'admins', "editor='".$db-&...
access宏操作名释义.doc
04-08
4. GoToPage:在活动窗体中跳转到指定的页,适合多页窗体。 5. GotoRecord:使指定的记录成为当前记录,可用于在表、窗体或查询结果集中切换。 三、执行: 1. RunCommand:执行Access内置命令,如菜单项、工具栏...
基于vue.js实现分页查询功能.rar
11-30
<input type="number" v-model="currentPage" @change="goToPage" min="1" max="totalPages"> 下一页 <span> / {{ totalPages }} <button @click="goToPage(1)">首页 <button @click="goToPage(totalPages)">末...
AxAcroPDFLib.zip
最新发布
07-10
6. 方法调用:可以调用`Print()`方法来打印文档,或者`GoToPage(int)`方法跳转到指定页码。 总之,`AxAcroPDFLib`是C#开发中集成PDF功能的一个强大工具,尤其适用于那些希望在无须安装额外PDF阅读器的情况下在应用...
login.php?gotopage=,DEDECMS全版本gotopage变量XSS ROOTKIT 0DAY
weixin_33093437的博客
03-25 435
影响版本:DEDECMS全版本漏洞描叙:DEDECMS后台登陆模板中的gotopage变量未效验传入数据,导致XSS漏洞。\dede\templets\login.htm65行左右由于DEDECMS的全局变量注册机制,该变量内容可以被COOKIE变量覆盖,可以在客户端持久化存储,最终导致一个XSS ROOTKIT。漏洞危害:管理员在触发DEDECMS任意的XSS漏洞(如留言本XSS)后,可以通过该...
login.php gotopage,采用织梦DedeCMS搭建网站的防挂马思路
weixin_35394437的博客
03-29 339
DedeCms做为国内使用最为广泛使用人数最多的CMS之一,经常爆出,每个漏洞的爆出,影响都是一大片,轻则被人挂广告、弹框,重则服务器成为肉机,宝贵数据丢失。那么有什么办法可以提高DedeCms的安全性呢?先来看看原因吧,为什么PHP程序经常出漏洞,其实是由PHP程序本身决定的。PHP可复用性低,导致程序结构错综复杂,到处是冗余代码,这样不仅利于漏洞的产生,还影响漏洞的修得;PHP程序入门简单且普...
dedecms download.php getshell,Dedecms_V5.7 getshell 利用后台文件上传功能漏洞
weixin_30938297的博客
04-02 415
虽然是复现文章,不过会更详细地来阐释这个漏洞,,因为现在后台getshell花样层出不穷,因此想要复现一波来学习一波getshell姿势~因为是最新的dedecms版本,因此我们直接在织梦官网上下载即可~http://www.dedecms.com/products/dedecms/downloads/DedeCMS V5.7 SP2正式版发布日期: 2017-04-05这里我测试的是utf-8版...
Dedecms 猜后台管理员账号的一个小技巧
测试
09-20 303
巅峰极客里遇到的一个案例(yx-tv.com)。 案例为,windows下的dedecms 好像是2017版本, 开启了会员中心,修改了后台的路径,然后用之前windows下dedecms找后台路径的方法, 发现tags.php被删除了,但是plus/rss.php文件存在, 然后用这方法就成功的找到了后台。 1234567891011121314151617import requestsimpo...
dedecms后台/dede/login.php登录空白,或无法登陆显示500 错误解决办法
零下一度
03-23 8630
转载自:http://fuyun365.diandian.com/gongju/php5-4-dedecms-background-dede-login-php-login-blank-solution.html     今天把电脑上的phpStudy升级到2013版。在登录本地织梦dedecms5.7时,/dede/login.php居然显示空白。由于周五我安装了 windows8,因
各种cms getshell技巧
qq_53742230的博客
07-08 2796
常用CMS getshell技巧
【网络安全】Duomicms的变量覆盖漏洞从白盒测试到实战
m0_59598029的博客
01-06 91
声明:本次实践是在合法授权情况下进行,数据已经全部加密,主要是提供思路交流学习,请勿用于任何非法活动,否则后果自负。
Component "pages/index/index" does not have a method "gotoPage1" to handle event "tap".
05-29
这个错误提示表明在小程序的某个页面中,有一个组件被设置了一个名为 "gotoPage1" 的事件,但是这个事件没有被正确地处理。具体来说,这个页面的 "pages/index/index" 组件被触发了一个名为 "tap" 的事件,但是该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值