渗透测试实战--dedecms漏洞复现

实验设备：一台windows服务器，一台kali，一台windows客户端

在虚拟机WIN7上使用phpstudy搭站（解压文件将文件放置在phpstudy配置文件WWW中），使用物理机进行攻击，WIN7 IP为192.168.10.5
物理机安装jdk，建立java环境，由此来运行菜刀

网页链接是WWW后的路径（http://ip/dedecms/uploads) 根据文件存放位置来定在物理机登录这个网站（刚开始就点下一步下一步，中间要设置root密码，里面也会显示admin密码）

我们注册一个用户000001，密码为123123，一个test用户，密码为123123
在admin后台将自己设置为会员，现实中就相当于自己充值会员，拥有会员权限
将用户设置为000001是因为管理员的用户是1所以通过抓包将自己的用户名变为1

登录自己的账号

打开burpsuite抓包

点击个人空间

取cookie中的last_vid__ckMd5 值 替换dedeuserid_ckMd5值 和Dedeuserid改为00001

然后on放过，别点forword

出来后发现已经是admin登录了
发生了越权

F12修改这三处

进入网站主页观看

运行重置密码链接，抓包
192.168.10.5/dedecms/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id=1

ctrl+R

进入repeater然后确认下面三个数据和之前要求的一样然后直接点go

出现右边的数据
把图中的url修改，amp；去掉
如下，抓到的这是一个临时修改密码的url
http://192.168.10.5/dedecms/member/resetpassword.php?dopost=getpasswd&id=1& key=ro0tKeP6
进入网页可以修改密码


修改成功

这个密码只能在这个网页临时登录，不能推出从外面登录，因为这只是个临时密码

进入dede直接进入后台

新建广告

添加广告
在内容中输入一句话木马

提交后出现一个路径

打开中国菜刀，将上面的路径填在url后

连接成功

提权

将pinjector拖入
用进程注入提权

pinjector -l
查看所有进程的权限

找到system权限的进程

pinjector -p 进程的UID cmd 4567

kali端监听

写一个脚本
内容为：关防火墙
开3389端口
创建用户
加入管理员组

用中国菜刀把脚本拖入目标
在kali中打开脚本

主机进行远程连接

连接成功