Tag:dedecms

Tag (dedecms)'s result:

dedecms利用通配符找后台目录及其防御方案

0x00 概述 最近dedecms狂爆漏洞,但是找后台一直是个难点,如果不是默认后台或者字典不够强大,基本上就gg了,但是先知出了篇可以爆破dedecms后台的帖子,看了下是个好方法,本文依据此贴对此方法进行分析,并总结出针对此方法的防御方案。 方法来源:https://xianzhi.aliyun.com/forum/topic/206……

组合拳:dedecms重置管理员后台密码

0x00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管理员后台密码。 先来看看整体利用流程: 重置admin前台密码—>用admin登录前台—>重置admin……

dedecms前台任意用户登录漏洞重现及分析

0x00 概述 2018年1月,网上爆出dedecms v5.7 sp2前台任意用户登录漏洞,利用此漏洞可以让管理员登录前台,是重置管理员后台密码的组合拳中的第二式。 组合拳第一式:dedecms前台任意用户密码重置漏洞重现及分析   0x01漏洞重现 需要先将用户0000001通过审核,再访问 http://127.0.0.1……

dedecms前台任意用户密码重置漏洞重现及分析

0x00 概述 2018年1月,网上爆出dedecms v5.7 sp2(最新版)前台任意用户密码重置漏洞,下文将对此进行重现及分析。   0x01 影响范围 20180109及其之前的版本   0x02 漏洞重现 //经测试无法修改admin用户的后台密码,只能修改到admin前台密码,所以这里测试修改id=2的lsa用户。 ……