dedecms5.7

最新推荐文章于 2025-02-26 15:43:03 发布
最新推荐文章于 2025-02-26 15:43:03 发布
阅读量350 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: php代码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unexpectedthing/article/details/123710998
本文详细讲述了作者在代码审计中发现的PHP弱类型安全问题和前端文件上传漏洞,涉及dedecms会员密码重置、图片马利用和用户登录控制,展示了漏洞分析过程与修复策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

这段时间,都是来加强自己代码审计的能力,希望自己的努力没有白费。

环境搭建

直接利用phpstudy来搭建

然后注意的是,需要在后台打开会员功能

系统 =>系统基本参数=>会员设置

image-20220307211350754

前台任意用户修改

漏洞演示

进入会员中心,点击通过安全问题取回

img

抓包改参数

dopost=safequestion&id=1&userid=admin&safequestion=00&safeanswer=0&vdcode=Vs4p

进入修改界面

img

漏洞分析

类型:php弱类型比较

dedecms的/member/resetpassword.php,用来进行用户密码重置

问题出在73行开始处理验证密保问题处。

image-20220307214042036

这段代码先是从数据库取出相关用户的密保问题及密保答案,在对用户输入做了一些处理后,进行了关键性的判断

if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)

如果没有设置密保的话safequestion从数据库取出默认为’0’,safeanswer为空。又是弱类型,所以我们赋值为0.

跟踪sn函数

image-20220307214324418

跟踪newmail

image-20220307214454639

sn函数中将send参数设置了’N’,type=insert,所以就直接跳转到修改密码的页面。

前台文件上传漏洞

漏洞在于用户发布文章上传图片处。处理文件在/include/dialog/select_images_post.php

而上传文件存在全局过滤/include/uploadsafe.inc.php

对文件后缀名,content_type,getimagesize过滤了。

image-20220307221455877

文件后缀名和content_type,好解决

getimagesize,我们需要传图片马

制作图片马

cmd

copy 1.jpg/b + 2.php/a 3.jpg

/include/dialog/select_images_post.php也只是对文件后缀名过滤了。

image-20220307221953780

所以我们传图片马构造,设置后缀名3.jpg.p\*hp

这儿也用到了apache的文件后缀解析漏洞

任意用户登录漏洞

代码分析

 if($action == '')
    {
        include_once(DEDEINC."/channelunit.func.php");
        $dpl = new DedeTemplate();
        $tplfile = DEDEMEMBER."/space/{$_vars['spacestyle']}/index.htm";

        //更新最近访客记录及站点统计记录
        $vtime = time();
        $last_vtime = GetCookie('last_vtime');
        $last_vid = GetCookie('last_vid');
        if(empty($last_vtime))
        {
            $last_vtime = 0;
        }
        if($vtime - $last_vtime > 3600 || !preg_match('#,'.$uid.',#i', ','.$last_vid.',') )
        {
            if($last_vid!='')
            {
                $last_vids = explode(',',$last_vid);
                $i = 0;
                $last_vid = $uid;
                foreach($last_vids as $lsid)
                {
                    if($i>10)
                    {
                        break;
                    }
                    else if($lsid != $uid)
                    {
                        $i++;
                        $last_vid .= ','.$last_vid;
                    }
                }
            }
            else
            {
                $last_vid = $uid;
            }
            PutCookie('last_vtime', $vtime, 3600*24, '/');
            PutCookie('last_vid', $last_vid, 3600*24, '/');

跟踪putcookie函数

image-20220307230745490

当uid存在值时就会进入我们现在的代码中,当cookie中的last_vid中不存在值为空时,就会将uid值赋予过去,$last_vid = $uid;,然后PutCookie。

意思就是控制了$uid就相当于可以返回任意值经过服务器处理的md5值。

看验证用户的认证系统的php文件:/include/memberlogin.class.php

image-20220307230601274

$this->M_ID等于Cookie中的DedUserID

跟踪GetCookie函数

if ( ! function_exists('GetCookie'))
{
    function GetCookie($key)
    {
        global $cfg_cookie_encode;
        if( !isset($_COOKIE[$key]) || !isset($_COOKIE[$key.'__ckMd5']) )
        {
            return '';
        }
        else
        {
            if($_COOKIE[$key.'__ckMd5']!=substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))
            {
                return '';
            }
            else
            {
                return $_COOKIE[$key];
            }
        }
    }
}

验证了cookie和md5值

说明,我们控制uid为admin的id,然后传入,就拿到md5值,然后直接登录admin用户。

这儿因为有个intval函数,那么这么说,如果我们想伪造ID为1的用户的Md5,我们只要在上面设置uid(用户名)为’000001’即可。

Dedecms5.7漏洞利用
qq_48732306的博客
11-07 1381
Dedecms5.7渗透测试 Dedecms5.7由于编程的问题,有一个可以直接篡改用户密码的漏洞,一下是复现过程: 一:启动环境: 首先要进行dedecms的安装,其下载地址为:] DeDeCMS 官网 http://www.dedecms.com/ [2]。 不过要安装dedecms还要搭建好服务器,而我选择的是使用warmpserve来搭建的,这个软件包含了apache2,php与mysql数据库,安装了就可以一键运行服务器。 Dedecms的安装包含了两个文件,把uploads那个文件放在warms
远程文件包含漏洞(dedecms5.7 sp1版本漏洞复现)
kid的博客
06-05 6265
远程文件包含漏洞(dedecms5.7 sp1版本漏洞复现) 前言 前面看一个视频提到这个漏洞的复现,自己觉得这种漏洞复现然后分析原因还是蛮有意思的,所以这里也来实现一下这个漏洞的复现,自己动手还是很重要的一个过程吧 过程 首先是搭建环境,phpstudy + dedecms5.7 sp1基本是一键安装 漏洞原因主要是在install的index.php文件中 foreach(Array('_...
DedeCMS-V5.7(文件上传)
shurongyugong的博客
11-24 668
先创建一个授权完成的用户,然后通过重置密码的漏洞登陆,再进行文件上传。
dedecms5.7(织梦)源码解析之程序安装
weixin_34174105的博客
11-27 720
前言 众所周知,dedecms在第一次运行时会检测是否安装,如果没有,则自动跳转到安装界面,进行用户友好的安装步骤,下面我们就来从源码看看这一切是如何完成的。 代码 默认服务器配置入口文件是index.html,index.php等,织梦uploads文件夹中仅有index.php,遂直接运行index.php文件啊,源码如下: <...
dedecms5.7(织梦)源码解析之程序安装补全篇
weixin_34326179的博客
11-28 555
前言 之前写的《dedecms5.7(织梦)源码解析之程序安装》一文中,还有几个值得讲解的文件没有提到,这里说明一下。 代码 templates目录 该文件夹中,一共有step-1.html、step-2.html、step-3.html、step-4.html、step-5.html五个文件,其作用主要为版权信息提示、系统环境检测、数据...
DedeCMS-V5.7.82-UTF8织梦
starhei.zxy的博客
08-03 673
接着点击生成 更新主页HTML--》将主页位置修改为【../index.php】--》点击 【生成静态】--》点击【更新主页】 再次访问站点首页可发现变化…访问目标靶场其思路为 dedecms 后台可以直接上传任意文件,可以通过文件管理器上传php文件获取webshel。步骤一:点击 【模块】 --》 【广告管理】--》〔【增加一个新广告】--》在【广告内容】 处添。步骤二:点击【代码】--》在图中显示的路径与站点进行拼接..访问测试!登陆到后台点击【核心】【文件式管理器】【文件上传】将准备好的一句话代。
DEDECMS5.7后台getshell1
08-03
DEDECMS 5.7后台Getshell漏洞分析 DEDECMS 5.7后台Getshell漏洞是近期爆出的一个漏洞,该漏洞允许攻击者在DEDECMS 5.7后台上传恶意文件,从而获取服务器的控制权。下面我们将对这个漏洞进行深入分析。 漏洞成因 ...
DEDECMS5.7星星评分插件
04-30
DEDECMS5.7星星评分插件是一款专为织梦内容管理系统(DEDECMS v5.7)设计的扩展组件,旨在为网站内容提供一种直观、用户友好的评分功能。这款插件允许访客对文章、产品或其他内容进行打分,以五角星的形式展示,从而...
2012尚蒂时尚女性极品源码dedecms5.7 带数据 .rar
09-23
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(随意编程),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
新闻头条自媒体系统php,新闻头条-新闻自媒体-技术博客织梦模板(带手机版)...
weixin_39948277的博客
03-24 251
点击查看模板演示网站(因演示站服务器运行有点慢,请多等待一会)或者直接用手机扫一扫进入手机演示站dedecms内核开发的新闻头条,新闻自媒体,创业博客,科技博客,学习博客整站源码,网站采用最新的html5+css3技术开发。只需要简单的修改即可使用。整个模板简洁大气,属于轻博客类型模板,后台修改栏目和添加文章非常方便,不需要懂太多的技术也可以很方便地使用。该模板是整站源码,安装非常方便,只需要在后...
fastcoll伪造MD5
10-31
MD5是目前最热门的加密算法,我们通常用MD5值来验证文件的完整性。例如在一些比较正规的下载网站,通常会提供软件的MD5值,这样我们就可以对下载回来的文件用MD5校检软件(如HashX等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。但当两个不同文件的MD5值完全一样时,你还会信任MD5吗? 找出破解MD5加密方法的专家是我国山东大学的王小云教授,这则新闻在以前的软件版块曾详细报道过。但之后MD5的破解一直没有进展,直到最近,国外的科学家研究出了新的MD5碰撞破解方法,可以让两个不同文件的MD5值完全一样,而之前我们一直认为一个文件的MD5值在世界上是独一无二的,这就像一个人克隆了你的指纹然后冒充你一样恐怖! 为了验证MD5值的独一无二性,我们来做一个简单的试验: 在桌面上新建一个文本文档,文件名为“test.txt”,内容为“OfficeBa”。然后将这个文本文档拖动到校验工具HashX中,点击左上角的“Hash File”按钮,得到其MD5值为051cb2917a5b70505e1687dee449c765,然后为文档中的“OfficeBa”加上双引号,保存后再通过HashX进行校检,发现MD5值变成了9ab117400993b70bc9945a9b15749d5d了。可见,一个极细微的变动都会导致文件的MD5值不同! 那么我们能让两个程序文件的MD5一致,却又都能正常运行,并且可以做完全不同的事情么?答案是:“可以!”。要让两个不同文件的MD5值相同,可以通过一款名为fastcoll的小工具来完成我们同样以刚才的test.txt来做试验: -h [--help] 显示选项 -q [--quiet] 简化 -i [-ihv] arg 使用指定的初始值,默认是md5初始值 -p [-prefixfile] arg 使用给定的前缀计算初始值,仍然把数据复制到输出文件中(必须是个文件名) -o [--out] arg 指定输出文件名,此选项必须是最后一个参数,而且两个文件名必须同时指定 默认的是 -o msg1.bin msg2.bin 把解压出来的fastcoll_v1.0.0.5.exe与test.txt放在同一目录,然后在“命令提示符”中输入:“fastcoll_v1.0.0.5.exe -i test.txt -p test.txt -o cbi.exe cbi2.exe”并回车,在同目录中会生成名为cbi.exe和cbi2.exe文件,我们用HashX校验他们的MD5值,可以发现是完全一样的,但是在HashX中用“SHA-1”加密算法进行校验的时候,结果竟然是不同的(SHA-1加密算法生成的结果也是独一无二的)!可见这已经是完全不同的两个文件,但是他们的MD5值竟然完全相同。 如果黑客从网上下载一个工具,给其捆绑上木马,然后通过工具让其MD5值和原文件一样。那么当用户下载了文件后用MD5校验工具进行校验时就会发现带毒文件和原文件MD5值完全一样,就会放心地去运行,结果可想而知。所以,MD5加密已经不再可信!
MD5修改工具
02-25
MD5修改工具是目前全网修改MD5最快的工具,实测修改1.2G视频文件仅耗时0.032秒,并且支持批量修改,还能够自动添加指定目录下的文件。 本工具可以对被迅雷、百度云等封杀的文件修改MD5,可以让这些文件短期内躲过查杀,并且修改后对文件几乎没有损坏。
织梦去广告
dfl2099的博客
02-16 262
Dedecms5.7发布以来,相信每个人都有自己的一个看法,只要把换成5.7版本的我想几乎每个人都会烦恼,怎么多了这么多广告,不管是前台还是后台。现在我们来一步步操作这些广告都删除掉。前台的广告删除很简单,我们找到对应的代码就可以了. 工具/原料 Dedecms5.7 ...
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改 漏洞复现(包括环境搭建)
aarong的博客
11-22 5189
目录一、漏洞概述二、环境搭建三、漏洞复现 一、漏洞概述 1 简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2 漏洞限制 ​ 1、 只影响前台账户 ​ 2、 只能修改未
织梦dedecms
xiaoouh的博客
11-14 316
从织梦网上下载了dedecms 5.7 设置了php网站环境后,运行http://tttttttt/install/index.php开始安装,把数据库等设置了后, 再打开http://ttttttttt就可以打开网站。 打开http://tttttttttt/dede就可以打开管理,管理员的帐号初始是admin,admin,当然也可以在安装的时候设置
DedeCMS_v5.7其他漏洞复现
wutiangui的博客
09-12 798
其中aHR0cDovL3d3dy5iYWlkdS5jb20=是http://www.baidu.com的base64编码。管理员在添加用户购买商品的配送方式时,可能会触发存储型xss。进入后台—>会员—>配货方式设置—>增加一个配货方式。二、后台shops_delivery_存储型XSS。后台modifytmp.inc被写入了新内容。三、sys_verifies后台文件写入。用户在购买商品时会自动弹出配送方式列表。版本:5.7sp1、5.7sp2。访问后发现直接转到百度。
MD5比较漏洞的简单理解
qq_63676207的博客
12-05 1051
MD5弱比较 ,强比较 绕过 特殊值
MD5签名:曾经的守护者与今日的警示
最新发布
weixin_39444768的博客
02-26 655
介绍MD5的普及和现状
如何碰撞两个功能不一样,但 MD5 值一样的程序的方法 + 源码公布
刘书的IT博客
12-29 4898
关于如何碰撞两个功能不一样,但 MD5 值一样的程序的方法。 如果您还没有阅读过之前的内容,请先查阅以下链接: 使用 MD5 碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单 指定MD5值碰撞,指定MD5碰撞免杀,修改木马MD5值和系统文件一致 当时我在帖子里写的是: 用到的工具如下: 1、MD5 碰撞发生器 v1.5MD5 Collision Ge
dedecms5.7内核
12-09
dedecms5.7是一个非常流行的开源网站内容管理系统,它的内核引擎是dedecms5.7则代表了它的版本号。dedecms内核是建立在PHP+MySQL环境下的,它提供了丰富的功能模块和插件,可以帮助用户快速搭建和管理网站。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值