DedeCms是目前网络上比较流行的一款PHP整站程序,中文名为“织梦内容管理系统”。最近,DedeCms出现了一个严重的漏洞,黑客通过漏洞可以得到网站的物理路径,并且能够曝出管理员账户名和密码,最为恐怖的是可以直接向服务器写入Webshell,而不必通过登录网站后台。到底是什么漏洞这么厉害,黑客是如何达到目的的,让我们来一探究竟吧。
漏洞成因
问题出在DedeCms的tag.php文件里,该文件会对变量$tag进行处理,但是由于程序员的疏忽,变量$tag在处理时并不严谨,这样就导致了漏洞的产生。黑客可以利用这个漏洞进行注入攻击,得到网站管理员的账户名和密码简直是小菜一碟,如果该网站的数据库权限为root,黑客还能够直接将Webshell写入到网站目录中,而不必登录网站后台,可谓一击必杀。
寻找入侵目标
入侵第一步当然是寻找目标了,在百度中以“Powered by DedeCms v_5_1_GBK”为关键字进行搜索,可以找到很多符合条件的网站,建议直接将搜索结果翻到20页以后,因为排名较前的网站一般已经被同行“捷足先登”了。随便点击一个搜索结果打开网站,将其网站复制下来。
运行“DedeCms漏洞利用工具”,将网站的网址复制到“网站”选项处,点击下方的“暴目录”按钮,如果“暴目录”成功,在工具中央的浏览窗口中将会出现一个绿色的页面,页面中会标注有网站的物理路径,本例中为“E:\wwwroot\gqmsg\web”。“暴目录”是利用了网站默认的安装文件/install/index.php来实现的,这是因为网站管理员在安装完网站后忘记删除install文件夹导致的,只要这个文件夹在,任何人都能重新安装网站系统,瞬间就可以让整个网站灰飞烟灭,由此可见网站管理员的安全意识相当淡薄。
图1. 得到网站物理路径
写入Webshell
如果网站的权限是root,我们可以直接向网站目录写入Webshell。点击工具下方的“导目录”按钮,在“网站目录”处会显示导入后的结果,然后点击“写网马”按钮,工具会将木马写入到网站根目录,文件名为admincsj.php,提示写入成功后我们就可以用木马进行连接了。
运行“lanker微型PHP后门客户端”,在木马地址中填入“http://www.***.com/admincsj.php”,在“基本功能列表”中选择相应的功能就可以执行了。
曝出管理员账户名和密码
如果网站权限不是root,不能直接写入Webshell该怎么办呢?我们可以曝出网站管理员的账户名和密码。点击工具的“暴密码”按钮,在中间的页面中将会出现管理员的账户名和密码,密码是经过MD5加密的,我们可以通过http://www.cmd5.com/网站进行破解,破解的成功率还是很高的。
图2. 曝出账户名和密码
拿到管理员权限后,还有什么我们不能做的呢?
图3. 破解出密码
相关文章
同类最新