Dedecms V5.7漏洞总结复盘

总结

难度不难 个人认为最难的为判断密码加密方式

另外 还有这个：

不是哥们，做这道题至少被验证码拦截了不下20次（

气急败坏.jpg

原理简要分析

在dedecms的此版本中，恢复密码拥有两种方式：

邮件方式：首先会检测邮件服务是否开启如果开启则发送邮件，否则给出提示信息
安全问题：检测是否有设置安全问题，如果有则重定向到密码重置的第三步，否则给出提示

分析通过安全方式找回密码的逻辑代码：

if ($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)

此处的比较是"==" 为弱类型比较

漏洞触发点在于安全问题找回密码时的不安全性逻辑设计所导致的，所以我们根据流程进入到以"安全问题"找回密码的逻辑代码中继续分析，可以看到这里会根据之前传递进来的用户id作为参数从数据库查询对应的safequestion、safeanswer，之后于用户提供的safequestion以及safeanswer进行判断。

如果用户没有设置安全问题，数据库里存储的safequestion默认为"0"，safeanswer默认为'null'，在此处我们可以利用弱类型转换构造成立，例如：

'0.0'=0

SN函数：

function sn($mid,$userid,$mailto, $send = 'Y')
{
    global $db;
    $tptim= (60*10);
    $dtime = time();
    $sql = "SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(!is_array($row))
    {
        //发送新邮件；
        newmail($mid,$userid,$mailto,'INSERT',$send);
    }
    //10分钟后可以再次发送新验证码；
    elseif($dtime - $tptim > $row['mailtime'])
    {
        newmail($mid,$userid,$mailto,'UPDATE',$send);
    }
    //重新发送新的验证码确认邮件；
    else
    {
        return ShowMsg('对不起，请10分钟后再重新申请', 'login.php');
    }
}

在该函数中会首先进行初始化赋值操作(此处的send为上面传递进来的'N')，之后跟进传递的id进行一次sql查询，之后进行判断，在这里我们直接根据newmail查看发送邮件的函数具体实现：

Copy

elseif($send == 'N')
    {
    return ShowMsg('稍后跳转到修改页', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
    }

可以看到当send为'N'时，直接在前端页面返回了验证码，又因为用户id是我们可以控制的safequestion下可以绕过，那么也就达成了修改前台任意用户密码的攻击。

漏洞复现

首先，我们需要先注册一个用户 确保设置安全问题

之后退出登录，进入找回密码页面

启动bp抓包 将截获的请求包发送到重发器模块以便于查看响应包，原来的包DROP掉，不然会触发二次请求导致利用失败

使用此payload替换相应包

vdcode与type 不需要替换 id= 替换为要攻击的对象 此处为1(admin)

post=safequestion&id=1&userid=test1&safequestion=00&safeanswer=0

替换后发包，得到重置密码URL

复制右侧HTML编码结果，粘贴到浏览器访问

即可更改任意用户的密码

修改模板文件

保存后按以下方式操作

更新后访问/index.php即可拿到shell

通过广告管理上传木马

如图操作：

添加后点击代码

这里就是木马位置 直接连接即可