dedecms漏洞组合拳拿站

dedecms漏洞组合拳拿站（渗透笔记）

前言

之前也写过几篇关于dedecms漏洞复现的文章了，光是复现也没什么意思，于是利用google hacking技巧，找到了一个使用dede的站点，正好用上了之前几篇文章里提到的所有的技术。所以特地写出来，也当做一个总结吧。

利用漏洞组合更改管理员的密码

之前几篇文章的链接：

https://blog.csdn.net/he_and/article/details/80988550

https://blog.csdn.net/he_and/article/details/80988550

当我们按照上面两篇文章的方法成功更改了管理员的密码过后，我们访问member/edit_baseinfo.php

同样的，访问这个页面的时候还是需要修改cookie，不然你改的就是你自己账户的密码。

mark

替换了过后，返回的页面如下：

mark

原密码就是我们通过任意用户密码修改漏洞修改的密码，在这个页面修改了密码就会真正修改管理员的密码，这也是dede设计的一个缺陷——前台修改管理员的密码可以影响后台的密码。可能设计者没想到有人能够通过前台登录管理员账户（正常情况下，dede不能再前台登录管理账户），但是他却爆出了一个前台任意用户登录漏洞！

修改完密码过后，就是需要找后台了，默认后台路径被修改了，所以只有扫一下后台了。我用的是DirBuster，主要是感觉它内置字典还是挺好用的。

mark

扫着扫着就发现了一个manage目录，这一看就有猫腻呀，访问了一下果然是后台，用刚刚修改的密码登录：

mark

这里需要更正一下，我在拿到这个站的时候，先是扫了一下目录，毕竟要先确定是否找得到后台，不然拿到密码也没用。

getshell

关于dedecms后台getshell我之前也复现过了，文章链接：

https://blog.csdn.net/he_and/article/details/80890664

按照文章中的方法写入一句话木马，使用菜刀连接

mark

接下来就是提权了，提权的过程还是挺曲折的。一开始扫目录的时候还扫出来了phpmyadmin，所以我直接root账户以及随便猜的一个密码登录了一下，没想到直接就上去了，都不需要我找密码了。想着有数据库的root账户提权应该就很简单了，直接传了一个带有mysql提权的大马上去了。

mark

根据回显，讲道理我已经拿到了system权限，但是当我执行net user命令时，返现没有回显，我一开始以为管理员只是禁用了net.exe，于是使用了net1.exe执行命令依然没有回显。猜测可能是管理员删除了net.exe与net1.exe，于是自己上传了一个，结果依然不能执行。

见识比较少，没搞懂管理员做了什么，于是想换一种方式，利用端口反弹得到一个cmdshell试试。数据库中执行如下语句

mark

然后我这边的主机用netcat监听4455这个端口

mark

用反弹的shell执行net命令还是不行，emmmmm，net命令不能执行，有点麻烦，但是我们是想用net命令添加用户以及开启远程桌面服务。是不是可以不用net.exe来实现呢？

于是找到了一个不用net.exe与net1.exe建立用户，并添加到Administrators组的可执行文件。上传上去，提示添加用户成功但是添加到管理员组失败。我当时就感觉有点奇怪，但是至少可以创建用户了，是个好的开头。

接下来就是打开远程桌面的端口，我试了网上提到的好几种方法然后扫描端口发现3389一直都是关闭的。于是猜测会不会是端口被修改了？直接通过操作注册表的方式查看和开启远程桌面服务

mark

转换为10进制就是9991，扫了一下果然开启了。你以为现在能登录了吗？真是和我一样天真！

mark

用刚刚创建的账户登录不了，提示找不到配置文件，看来管理员访问控制做的比较好，现在陷入了僵局——不能创建管理员账户，普通的用户又登录不了。

我突然想起我还有个神器没上场呢——mimikatz，这个神器可以直接抓取系统中sa文件的账户密码，只需两行命令

我把神器传上去执行一下：

mark

mark

反正就是拿到管理员的密码了，直接登上服务器，在本地执行了一下net命令，还是不能用，那我就不用呗，我直接去账户管理里操作，创建用户没什么问题，就是到了添加管理员时，禁止访问！我真的服了，直接添加不了，难怪一开始那个可执行文件失败了。想着都拿到服务器了，就先放着了，这个问题也还没解决….望大佬告知

关注web安全与python