专栏首页逢魔安全实验室DedeCMS任意用户密码重置漏洞

DedeCMS任意用户密码重置漏洞

综述

2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。

攻击难度:低。

危害程度:高。

官方修复情况如下:目前暂未发布升级补丁


什么是DedeCMS

织梦内容管理系统(DeDeCMS) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步。广泛应用于中小型企业门户网站,个人网站,企业和学习网站建设,在中国,DedeCMS应该属于最受人们喜爱的CMS系统。


技术分析

此漏洞点出现在忘记密码功能处.文件/member/resetpassword.php:

在找回密码时,当$dopost = safequestion时,通过传入的member_id查询出对应id用户的安全问题和答案信息,当我们传入的问题和答案不为空,而且等于之前设置的问题和答案是就进入sn()函数。

这里如果用户设置了问题和答案,我们并不知道问题和答案是什么,就无法进入sn()函数。但是如我此用户没有设置问题和答案呢?此时系统默认问题是”0”,答案是空。

那么我们传入答案$safeanswer = “”时:

$row['safeanswer']== $safeanswer;成立。

但是传入问题$safequestion = “0”时:

if(empty($safequestion))$safequestion = '',而$row[safequestion] = “0”

此时$row[safequestion] == $safequestion;不成立。

所以要让$row[safequestion] == $safequestion;成立必须绕过if判断,此时如果属性PHP的话,会想到PHP的弱类型问题,所以在类型转换的时候往往会发生意料之外的情况。

下面我们来看看如何绕过if empty的判断:

可以看到使用”0.0”,”0.”,”0e1”都可以绕过前面的判断,最后进入sn()函数,继续跟进。

sn()函数在文件/member/inc/inc_pwd_functions.php:

这里当第一次进行忘记密码操作时,$row应该时空,所以进入第一个if条件发送邮件insert一条记录到dede_pwd_tmp表里;如果之前进行过忘记密码操作,但是时间已经超过10分钟,那么继续进行发送新验证码的操作update dede_pwd_tmp表里面的数据,跟进当前文件的newmail()函数。

例如这里第一次进行insert操作(update操作是一样的)时,将8为的随机字符串$randval加密后下乳dede_pwd_tmp表中,然后当$send = N时(上面默认传入N),将随机字符串$randval拼接到url中返回,返回的url为:

http://www.attack.com/member/resetpassword.php?dopost=getpasswd&id=$mid&key=$randval

$mid就是可控的参数member_id,既然这列已经返回了重置密码的验证码key那么就可以直接重置对应id的用户密码了,跟进一下重置密码的过程。

首先在重置密码时,判断输入的id对应用户是否进行过密码重置操作,如果没有就退出了。

然后判断传入的key的md5是否等于数据库中的pwd内容,如果相等就直接修改了dede_member表中对应用户的密码了。


漏洞验证

直接发送如下请求即可获取重置密码的链接:

http://localhost/DedeCMS-V5.7-UTF8-SP2/member/resetpassword.php?dopost=safequestion&safequestion=0e1&safeanwser=&id=1

然后获取的重置面链接为:

http://localhost/DedeCMS-V5.7-UTF8-SP2/member/resetpassword.php?dopost=getpasswd&id=1&key=D2kIQomh

然后就可以直接重置密码了。这里修改id的值即可修改对应的用户的密码。

但是这个漏洞存在一个缺陷,因为通过分析可以看出来只有没有设置安全问题的用户才会受此漏洞的影响;而且只能修改前台用户的密码。


防护方案

临时方案可以暂时关闭会员功能,等待官方发布升级补丁然后升级。

本文分享自微信公众号 - 逢魔安全实验室(FormSec),作者:xfkxfk

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • UAF Writeup - pwnable.kr

    0x00 UAF — pwnable.kr是一个韩国的CTF练习的网站,有很多经典的CTF题目供爱好者练习。 UAF(Use After Free)释放后重用...

    xfkxfk
  • Some Linux Hacking Tricks

    xfkxfk
  • 铁人三项2018 pwn [heapmain] Writeup

    这个题目的原题是RHME3,直接拿来二进制修改,去掉网络函数,使用socat部署。这波操作可还行

    xfkxfk
  • python测试开发django-74.auth认证之is_active

    在 django 的 User 表里面有个 is_active 字段可以判断用户是否是激活状态。 使用 authenticate 校验登录的时候 is_acti...

    上海-悠悠
  • Django-11 分页功能

    修改django_project/blog/views.py,增加分页代码,某个用户所发帖子列表视图类:

    亚乐记
  • 再看语音交互设计

    赋能是人工智能对人类最重要的事情,而智能语音(例如DuerOS)正在为人机交互的方式赋能。声音一直是人与人沟通的核心,而今也成为了人机交互的核心——智能语音交互...

    半吊子全栈工匠
  • jQuery plugin development

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    Jerry Wang
  • Vue系列(二)——Vue之模板语法

    <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>

    萌兔IT
  • python功能笔记——图像处理

    python图像处理 from PIL import Image """打开图片""" pil_im=Image.open('test1.jpg').conve...

    py3study
  • 「数据库」sql刷题(No.2)

    A市开了一家新的花店,吸引了很多的人过来看观看。该店长特别注意用户体验,专门有个 LED显示板做购花推荐,上面公布着花评和相关花的描述。

    八点半的Bruce、D

扫码关注云+社区

领取腾讯云代金券