DEDECMS v5.6漏洞复现
织梦内容管理系统(dedecms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类cms系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
闲来无事,复现一下dedecms v5.6版本的经典漏洞,为了增加点难度,在环境中设置了5个flag。
实验目标:192.168.1.3;
实验目的:获取服务器上5个key;
实验工具:中国菜刀。
访问192.168.1.3网站,经过工具扫描等,发现无法用工具进行SQL注入,无法取得后台管理员账号密码,只能通过盲注方式取得账号密码。发现后台路径:192.168.1.3/ded/login.php为dedecms默认后台路径。
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”发现如下页面,说明该页面讯在漏洞。
通过SQL语句/member/ajax_membergroup.php?action=post&[email protected]`'`%20Union%20select%20userid%20from%20`%[email protected]__admin`%20where%201%20or%[email protected]`'` 爆出管理员账号:admin。
通过SQL语句/member/ajax_membergroup.php?action=post&[email protected]`'`%20Union%20select%20pwd%20from%20`%[email protected]__admin`%20where%201%20or%[email protected]爆出管理员密码:23a7bbd73250516f069,类似md5的加密,去掉前三位最后一位变成7bbd73250516f06的md5加密,解密出来为admin123。
通过SQL语句/member/ajax_membergroup.php?action=post&[email protected]`'`%20Union%20select%20pwd%20from%20`%[email protected]__admin`%20where%201%20or%[email protected]爆出管理员密码:23a7bbd73250516f069,类似md5的加密,去掉前三位最后一位变成7bbd73250516f06的md5加密,解密出来为admin123。
访问后台/dede/,输入管理员账号密码,登录会发现,key2出现在登录的跳转页面;
进入后台,我们就可以拿webshell,在“文件式管理器”中点击“新建文件”中写入一句话木马,保存。
在“文件式管理器”中的“根目录”中我们发现有个“key”的文件夹,点击进去发现有个key.txt文件,双击进入,找到key4。
然后我们用菜刀连接上传的webshell。
创建用户“ net user test zxcvbnm,.123 /add” 并添加到管理员组“net localgroup administrators test /add”远程连接
在C:\wamp\www\templets\default\shell.php文件中,我们发现key3
同样,在服务器的C盘根目录下,我们发现了key5.txt,但是我们发现,无法打开,没有权限,这就尴尬了啊。
所以我们要将文件的访问权限更改为用户完全控制,在key5.txt属性——安全中我们将key5的拒绝选项中的勾选去掉,然后应用、确定。这样我们就可以访问文件,得到key5。
但是,我们在服务器系统文件管理中并没有找到key1,那么,既然是网站,我们或许可以在数据库中找到找到我们想要的。在菜刀中,我们找到C:\wap\www\install\common.inc.php文件中,找到了数据库的账号密码,那么我们就可以访问数据库了
在菜刀中,右键链接,选择“数据库管理”,我们选择root用户,输入密码,访问数据库,我们在网站的数据库中发现有一张名为akey的表中存在我们想要的key1。
(忘记截图了o(╥﹏╥)o)
(忘记截图了o(╥﹏╥)o)
同本次实验中,我们从**后台账号密码,再到登陆后台上传shell,再到添加用户,获得权限,访问文件拿到数据,网站的系统在我们面前如同透明一样。
没有符合的翻译结果!
请确认选中的文本是完整的单词或句子。
目前仅谷歌翻译支持汉译英。
数据来源: