漏洞说明:
2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
前台任意用户密码修改漏洞的细节[2]。
2018 年 1 月 10 日,Seebug 漏洞平台[3]收录该漏洞,漏洞编号为
SSV-97074,知道创宇 404 漏洞应急团队成功复现该漏洞。
形成原因:
- 由于php弱类型比较形成绕过
限制:
- 只影响前台账户
- 只能修改未设置安全问题的账户
漏洞复现:
-
先搭建好漏洞环境官网链接,试了一下5.6和5.7版本都存在这一漏洞。
-
先注册一个账号,不设置任何安全问题(其实搭好环境后,里面有几个前台用户了)
-
在找回密码这开始构造payload
payload:
http://127.0.0.1/uploads/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1
用bp抓取这个页面:
经过重放拿到key(这个key相当于管理员临时权限,可以更改用户密码)
- 修改成功用更改后的密码成功登陆
总结
算是一次比较简单的漏洞复现吧,但是在网上有看到其他博客用这样方法改了admin的前台密码,之后利用留下的cookie改了后台登陆密码,试了很多次也没有成功。
在搭建过程中也遇到过一些问题比如php.ini配置文件有问题;php版本过高,dedecms里的配置函数被弃用;最神奇的是遇到这个百度了好多有没有这个问题的原因,而且我感觉也不像是个问题,只是在页面跳转时出现了错误,查看源码去找了下没有发现结果,主要是实力不行,在跟踪了几个文件之后就给绕晕了。之后什么都没干它自己又好了。
该漏洞产生详细剖析看这里,我也是看这篇博客了解具体原理的。