织梦搭网站-漏洞复现+漏洞影响范围
简介
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。
漏洞复现环境
PHP 5.6
Apache 2.4.39
MySQL 5.7
DeDeCMS V5.7 SP2正式版(2018-01-09)
安装DeDeCMS
下载渗透测试环境准备需要的phpstudy
下载渗透测试环境准备需要的phpstudy:
phpstudy下载链接(点击)
跳转页面如图所示:
下载DeDeCMS
下载DeDeCMS
DeDeCMS下载链接(点击)
跳转页面如图所示:
安装dedecms
安装dedecms
-
先我们将下载好的安装包解压,然后再将uploads这个文件拷贝到D:\phpStudy_pro\WWW或者D:\PHPstudy\PHPTutorial\WWW里(格式统一这样子哟)
-
然后启动.phpstudy的apache与mysql
-
点击网站,再点击创建网站(www.+自己起的名字+com)
DeDeCMS(织梦)建站
-
运行 http://域名/install/index.php
域名是你所建的网站(如:www.ldfx.com)
输入网址 http://域名/install安装页面出现dir,没有出现安装界面怎么回事,把install文件夹下的index.html删掉,,你再看看install文件夹下有没有install_lock.txt 和index.php.bak 这2个文件,如果有把install_lock.txt 文件删掉,index.php.bak 改名改为index.php -
填写参数配置
数据库密码为:root
恭喜你安装完成啦,但是还没有结束哟~
复现过程
- 登录网站后台
(在系统左边的最下面的那一项打开,就是上图的界面,把第一项的是否打开会员的否改为是)
再后退一步,并退出之前的admin帐号,重新注册一个test的帐号
注册测试账户 test,并不设置安全问题
成功啦:
这个是我自己根据老师和大佬的提示的操作过程,希望能帮到大家!搭网站虽然是个枯燥的过程,但过程中也能学到很多,大家一起冲冲冲 * ^ *
漏洞影响范围
DeDeCMS基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于 DedeCms核心,是目前国内应用最广泛的php类CMS系统。
通过ZoomEye 网络空间探测引擎进行探测,以下为网络空间上所有的使用了DeDeCMS V5.7 SP2的网站或基于DedeCMS的核心开发,总数超过 97万条,设备总数超25万个,是目前最常见的建站工具之一:
下图为主要国家使用DeDeCMS V5.7 SP2的网站数量,其中中国和美国网站使用数量居榜前:
下图为目前DeDeCMS的相关漏洞: