滲透實(shí)戰(zhàn)：dedeCMS任意用戶密碼重置到內(nèi)網(wǎng)getshell

DedeCMS 是一個(gè)基于 PHP 和 MySQL 的開源 CMS 系統(tǒng)，它是國內(nèi)很多網(wǎng)站使用的 CMS 系統(tǒng)之一。在使用 DedeCMS 的過程中，我們需要重視其安全性，因?yàn)榘踩珕栴}可能會(huì)導(dǎo)致網(wǎng)站數(shù)據(jù)泄露、網(wǎng)站被黑、系統(tǒng)被入侵等嚴(yán)重后果。本文將介紹如何進(jìn)行 DedeCMS 安全測試。

1、環(huán)境準(zhǔn)備

為了進(jìn)行 DedeCMS 安全測試，我們需要準(zhǔn)備以下環(huán)境：

• 一臺(tái)安裝了 PHP 和 MySQL 的服務(wù)器；
• DedeCMS V5.7 SP2正式版 安裝包；
• 一些常用的安全測試工具，如：Burp Suite、Nmap、御劍 等。

2、安裝 DedeCMS

首先，我們需要安裝 DedeCMS，用于本地復(fù)現(xiàn)。這可以參考官方文檔或者其他教程來完成。在HOSTS文件將虛擬機(jī)IP映射到dede.com域名寫以便于進(jìn)行安全測試。

二、安全測試

1、信息收集

在拿到一個(gè)站點(diǎn)的第一步肯定是進(jìn)行一個(gè)信息收集，它是整個(gè)滲透測試的基礎(chǔ)。信息收集的目的是為了獲取目標(biāo)網(wǎng)絡(luò)或系統(tǒng)的相關(guān)信息，包括IP地址、域名、操作系統(tǒng)、開放端口、應(yīng)用程序、網(wǎng)絡(luò)拓?fù)?、用戶信息、源碼泄露等，以便于滲透測試人員對目標(biāo)進(jìn)行深入分析和攻擊，如確定目標(biāo)，定位漏洞，分析目標(biāo)網(wǎng)絡(luò)，確定攻擊方式等等。

由于是本地搭建環(huán)境復(fù)現(xiàn)，此處就不進(jìn)行常規(guī)的CDN繞過、WAF、蜜罐識別、子域名收集等操作。

端口掃描

目錄掃描

2、漏洞確定

通過泄露的robots.txt文件得到前臺(tái)登錄的賬戶名test1

通過泄露的web.zip文件得出相關(guān)線索

通過泄露的得出dedeCMS版本信息

3、漏洞利用

3.1重置用戶密碼

通過web.zip中mysql_config.txt中的提示和ver.txt泄露的版本信息尋找相關(guān)Nday

得出該版本為DedeCMS V5.7 SP2正式版，存在任意用戶密碼重置漏洞

利用點(diǎn)在后臺(tái)的用戶重置密碼，再通過web.zip泄露的源碼中得到其中一個(gè)已存在的用戶名為test1來重置該用戶密碼

注：這里要選擇-通過安全問題取回，其中沒有設(shè)置安全問題的用戶會(huì)利用失敗

使用BP抓包，點(diǎn)擊-下一步，蔣截獲的請求包發(fā)送到重發(fā)器模塊以便于查看響應(yīng)包，原來的包DROP掉，不然會(huì)觸發(fā)二次請求導(dǎo)致利用失敗

使用此payload，將原來的POST請求內(nèi)容替換，其中的&vdcode=xxx&type=xxx不用替換

dopost=safequestion&id=1&userid=test1&safequestion=00&safeanswer=0&vdcode=embh&type=2

訪問響應(yīng)包中得到的地址即可進(jìn)入密碼重置頁面，注：其中的amp;實(shí)體編碼要去掉

http://www.dede.com/member/resetpassword.php?dopost=getpasswd&id=1&key=7csIufED

密碼重置為123，重置成功

這個(gè)漏洞能利用任意用戶重置管理員密碼，畢竟id=1嘛??????

然后利用hejun這個(gè)賬戶去登錄前臺(tái)發(fā)現(xiàn)登錄不上，原來是管理員賬戶，此CMS的管理員賬戶只能后臺(tái)登錄

將上面payload的id更改為2，嘗試?yán)闷渌脩舻卿?/p>

http://www.dede.com/member/resetpassword.php?dopost=getpasswd&id=2&key=4nDfzPyZ

原來是test1的用戶，重置密碼為123，前臺(tái)用戶中心登錄，這里可以用BP爆破其他可利用的用戶名，id=$1$

進(jìn)入前臺(tái)用戶中心，發(fā)現(xiàn)沒有其他利用點(diǎn)，評論啥的都不能用，只有右下角歡迎新朋友這里可以進(jìn)入其他用戶空間

這里test2，test3都訪問不了，只有test4能訪問

3.2未授權(quán)訪問

發(fā)現(xiàn)URL中uid=test4很可以，嘗試一下未授權(quán)訪問，換個(gè)管理員的賬戶試試

http://www.dede.com/member/index.php?uid=test4&action=guestbook

啪的一下，也沒啥利用點(diǎn)，留言板提示后臺(tái)登錄管理員賬戶

3.3爆破后臺(tái)

正常DEDECMS后臺(tái)路徑為/dede/login.php，這里的后臺(tái)被修改了，嘗試一下能不能爆破一下后臺(tái)路徑

百度無果，在github上看看有無可利用的工具，還挺多的，關(guān)鍵詞dede 后臺(tái)，找到了一個(gè)，地址放參考了(python2)

得出后臺(tái)管理路徑

http://www.dede.com/hejunwebxxe/login.php

進(jìn)入后臺(tái)登錄界面，發(fā)現(xiàn)用戶中心的管理員密碼跟管理員在后臺(tái)登錄的密碼不同，直接爆破，這里要配合BP識別驗(yàn)證碼。這里用到名為xiapao工具地址j及其使用方式放參考了（這里的腳本需要python低于3.7版本）

3.4安裝xiapao

這款工具的安裝有點(diǎn)麻煩，稍微介紹一下，這里建議都把工具都放同個(gè)文件夾再打開cmd

py -3.6 -m pip install --upgrade pip
py -3.6 -m pip install -i https://pypi.douban.com/simple/ pip install opencv-python==4.3.0.38
py -3.6 -m pip install muggle-ocr-1.0.3.tar.gz -i https://pypi.douban.com/simple
py -3.6 -m pip install opencv_python_headless-3.4.18.65-cp36-abi3-win_amd64.whl
py -3.6 -m pip install ddddocr -i https://pypi.tuna.tsinghua.edu.cn/simple

啟動(dòng)腳本

BP中導(dǎo)入xiapao插件

接下來就是xiapao配合BP自動(dòng)化識別證碼來爆破用戶密碼

填入后臺(tái)登錄驗(yàn)證碼地址，接口使用他接碼地址（默認(rèn)），選擇驗(yàn)證碼識別一，記得點(diǎn)擊保存配置

3.5爆破管理員密碼

后臺(tái)登錄界面填入管理員賬戶名抓包發(fā)送到intruder模塊，同時(shí)密碼設(shè)置載荷，驗(yàn)證碼處填入xiapao工具的識別特征碼@xiapao@1@，線程設(shè)置為1，防止請求過快驗(yàn)證碼識別不了

得到密碼admin888

3.6getshell

進(jìn)入后臺(tái)，左邊菜單欄中文件式管理器有個(gè)上傳文件，這就上傳個(gè)一句話木馬??

使用蟻劍連接，getshell，拿到flag（編了倆次碼）

總結(jié)

DedeCMS是一款國產(chǎn)的開源CMS系統(tǒng)，具有使用簡單、功能強(qiáng)大、可擴(kuò)展性好等特點(diǎn)。然而，像其他CMS系統(tǒng)一樣，DedeCMS也存在一些安全問題，其中任意密碼重置漏洞是其中一個(gè)比較嚴(yán)重的漏洞。

通過信息泄露，攻擊者可以獲取到網(wǎng)站的用戶的用戶名和一些敏感信息，然后通過利用任意密碼重置漏洞，在不知道原密碼的情況下，重置管理員賬號的密碼，從而獲取管理員權(quán)限。接著，攻擊者可以通過后臺(tái)getshell，獲取網(wǎng)站的控制權(quán)，進(jìn)而進(jìn)行各種惡意操作，如上傳惡意文件、篡改網(wǎng)站內(nèi)容、竊取用戶信息等。

為了避免這種安全問題的發(fā)生，在使用DedeCMS時(shí)，建議管理員及時(shí)升級DedeCMS版本，修復(fù)已知的漏洞。同時(shí)，建議管理員設(shè)置強(qiáng)密碼、不要使用相同的密碼、啟用兩步驗(yàn)證等措施，驗(yàn)證密碼時(shí)添加一個(gè)token等手段，以提升管理員賬戶的安全性。此外，還需要加強(qiáng)對網(wǎng)站的監(jiān)控，及時(shí)發(fā)現(xiàn)異常情況，并采取相應(yīng)的措施，以保障網(wǎng)站的安全。文章來源地址http://www.zghlxwxcb.cn/news/detail-738497.html

參考

https://xz.aliyun.com/t/9705#toc-0
https://github.com/AAHOne/dedecms
https://www.cnblogs.com/punished/p/14746970.html

到了這里，關(guān)于滲透實(shí)戰(zhàn)：dedeCMS任意用戶密碼重置到內(nèi)網(wǎng)getshell的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！