-
漏洞概述
1.漏洞简介
????????织梦内容管理系统(DedeCms),以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。
?????????2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS 前台任意用户密码修改漏洞的细节。
????????2018 年 1 月 10 日,Seebug 漏洞平台[3]收录该漏洞,漏洞编号为 SSV-97074,知道创宇 404 漏洞应急团队成功复现该漏洞。
2.漏洞限制
- 只影响前台账户
- 只能修改未设置安全问题的账户
3.影响版本
DeDeCMSV5.7SP2 正式版(2018-01-09)
-
复现过程
1.复现环境
PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09)
2.复现过程及结果
(1)首先需要搭建dedecms的网站;
使用的是phpstudy搭建网站,在phpstudy中创建网站,
将dedecms中uploads内的文件们都放在网站的根目录中,
?
在php打开网站,开始安装
完成后会出现这个页面
这是由于新版dedecms系统中使用了SQL语句防注入功能引了的安全警告。在自定义模模型中使用了union|sleep|benchmark|load_file|outfile之一都会引发这个警告,此外采集的内容,如果有 ‘union 这类语法也会出现在这个警告。解决办法就是把安全检查关掉,打开include下面的dedesql.class.php 和dedesqli.class.php,$this->safeCheck?=?true;改为$this->safeCheck?=?FALSE;就能成功解决问题了。
安装完成后就可以打开网站开始利用漏洞。
?(2)进入网站后台页面注册管理员账号,开启会员功能
?(3)打开会员中心重新注册一个弱口令没有安全问题的账号。
这时候可以看到后台多了一个编号是2的账号
登录账号,在个人主页的url那里利用漏洞
在url的member/后面输入resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=2? 运行重置密码链接(2是在后台看到的那个对应的账户编号。)
打开burpsuite抓包
GET后面显示的是即将访问的页面,放几次包之后会看到一个key
在html中用&表示&,我们需要的是一个临时修改密码的url,需要把&改为&,直接在burpsuite那里修改之后放包就可以看到密码修改页面
成功利用漏洞。
-
影响范围
利用zoomeye可以探测到有两百八十多万使用dedecms的网站
-
防护措施
- dedecms官方还没有公布的修复补丁
- 临时修复方案
修改文件/member/resetpassword.php第84行
==改为===可以临时防护这个漏洞,这时常见的弱类型安全问题。
在php中==和===都属于比较运算符,==(等于)只比较值是否相等,而===(全等于)则不但比较值是否相等,还会比较类型是否相等,它更为严格。
参考链接:https://www.seebug.org/vuldb/ssvid-97074
?