ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → dedecms 通杀全版本漏洞 任意修改管理员密码【黑客web漏洞&网络安全web漏洞】

dedecms 通杀全版本漏洞 任意修改管理员密码【黑客web漏洞&网络安全web漏洞】

时间:2018-02-09 14:55:07人气:作者:本站作者我要评论

 DEDECMS 5.7最新版本,包括之前的5.6、5.5版本都受该漏洞的影响,织梦exploit算是

网站漏洞里较高级别的漏洞了,许多企业网站,个人网站,都用的dedecms开发与设计,2018

年1月份被爆出可以任意修改管理员以及用户的密码漏洞,可导致网站后台被攻击者登陆,进

而上传网站木马来进一步的获取网站的管理权限,修改并篡改网站的首页。

dedecms最新漏洞详情

该漏洞涉及到前台member用户密码可以任意修改,以及任意用户空密码登陆,织梦后台管理员

密码任意修改的漏洞。member前台用户密码修改主要是通过dedecms的用户安全机制问题,当

用户登陆的时候会记录用户的cookies,通过cookies可以绕过安全机制,直接登陆用户的控制面

板。

那么后台的管理员账号密码是怎么被任意修改的呢?具体漏洞利用是根据前台的admin账号的安

全机制来实现的,前台admin跟后台管理员的账号同是admin的时候,就可以触发该漏洞。我们

来操作一下:前台注册一个账号:名称随便,主要是为了获取admin的cookies值,以便可以前台

登陆admin账号。注册并登陆刚才申请的账号sine,并访问 http://www.cesafe.com/member/index.php?uid=sine

右键查看源码查找last_vid_ckMD5这个的值是多少。并修改DedeUserID值为0000001,刷新访问

该页面http://www.cesafe.com/member/index.php,如下图所示:

dedecms 通杀全版本漏洞 任意修改管理员密码【黑客web漏洞&网络安全web漏洞】

显示已登陆了 admin的账号了,登陆以后我们来改一下admin的账号密码。前台改的admin

密码,也会同步到后台的admin管理员账号上。那么我们就可以用刚修改的密码直接登陆网

站后台,进行提权即可。

dedecms 通杀全版本漏洞 任意修改管理员密码【黑客web漏洞&网络安全web漏洞】

如何修复dedecms漏洞?

我们在对dedecms的源代码进行安全分析的时候,发现member会员目录下的edit_baseinfo.php

文件存在安全漏洞,也就是说前台admin账号密码修改后,会同步修改掉后台的管理员账号

admin的密码,也就是因为这个漏洞导致网站可以被攻击者入侵,并篡改网站首页。怎样修改该

网站漏洞呢?

注释掉member会员目录下的index.php 第160行到165行的代码,如下图1所示:还有会员目录下

的resetpassword.php这个代码里的第80-85行代码进行注释,可以修复DEDECMS的漏洞。

目前dede官方暂时没有发布最新的漏洞补丁,请各大网站管理员按照上述的方法进行修复,最好

可以改掉管理员的账号admin,改为其他名字,也可以防止被漏洞利用。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网