织梦任意前台密码修改漏洞复现
生活随笔
收集整理的這篇文章主要介紹了
织梦任意前台密码修改漏洞复现
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
一、背景
織夢內容管理系統(DedeCms)以簡單、實用、開源而聞名,是國內最知名的PHP開源網站管理系統,也是使用用戶最多的PHP類CMS系統,在經歷多年的發展,目前的版本無論在功能,還是在易用性方面,都有了長足的發展和進步,DedeCms免費版的主要目標用戶鎖定在個人站長,功能更專注于個人網站或中小型門戶的構建,當然也不乏有企業用戶和學校等在使用該系統。
二、復現過程
所需環境:
????????PHP 5.6
????????DeDeCMSV5.7SP2 正式版(2018-01-09)
過程:
①搭建網站:這里使用phpstudy實現。
先開啟服務:
?
?
?
?
建好網站:
?
?將DeDeCMSV5.7SP2的文件復制到WWW中域名目錄下:
②安裝平臺(一路下一步即可,注意數據庫密碼要在phpstudy中查看)
?
進入管理登錄界面:(默認為admin? ?admin)?
?
?開啟會員功能:
?
?注冊新會員(不要設置安全問題):
?③開始抓包
使用火狐的代理插件FoxyProxy,開好代理后就可以打開Burpsuite,開始抓包:
?找到請求:
?
?
?
?
?把amp和分號去掉,就可以得到修改管理員密碼,之后登錄修改密碼成功。
復現完成。?
總結
以上是生活随笔為你收集整理的织梦任意前台密码修改漏洞复现的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: CVPR 2021 华南理工和微信的Tr
- 下一篇: 不打开Excel文件直接读取数据