织梦搭网站-漏洞复现+漏洞影响范围

简介

织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名，是国内 最知名的 PHP 开源网站管理系统，也是使用用户最多的 PHP 类 CMS 系统， 在经历多年的发展，目前的版本无论在功能，还是在易用性方面，都有了长 足的发展和进步，DedeCms 免费版的主要目标用户锁定在个人站长，功能 更专注于个人网站或中小型门户的构建，当然也不乏有企业用户和学校等在 使用该系统。

漏洞复现环境

PHP 5.6
Apache 2.4.39
MySQL 5.7
DeDeCMS V5.7 SP2正式版(2018-01-09)

安装DeDeCMS

下载渗透测试环境准备需要的phpstudy

下载渗透测试环境准备需要的phpstudy：
phpstudy下载链接（点击）
跳转页面如图所示：

下载DeDeCMS

下载DeDeCMS
DeDeCMS下载链接（点击）
跳转页面如图所示：

安装dedecms

安装dedecms

• 先我们将下载好的安装包解压，然后再将uploads这个文件拷贝到D:\phpStudy_pro\WWW或者D:\PHPstudy\PHPTutorial\WWW里（格式统一这样子哟）
  

• 然后启动.phpstudy的apache与mysql
  

• 点击网站，再点击创建网站（www.+自己起的名字+com)
  

DeDeCMS（织梦）建站

• 运行 http://域名/install/index.php
  域名是你所建的网站（如：www.ldfx.com)
  
  输入网址 http://域名/install安装页面出现dir,没有出现安装界面怎么回事，把install文件夹下的index.html删掉，，你再看看install文件夹下有没有install_lock.txt 和index.php.bak 这2个文件，如果有把install_lock.txt 文件删掉，index.php.bak 改名改为index.php

• 填写参数配置
  数据库密码为：root
  
  
  恭喜你安装完成啦，但是还没有结束哟~

复现过程

• 登录网站后台
  （在系统左边的最下面的那一项打开，就是上图的界面，把第一项的是否打开会员的否改为是）

再后退一步，并退出之前的admin帐号，重新注册一个test的帐号

注册测试账户 test，并不设置安全问题

成功啦：
这个是我自己根据老师和大佬的提示的操作过程，希望能帮到大家！搭网站虽然是个枯燥的过程，但过程中也能学到很多，大家一起冲冲冲 * ^ *

漏洞影响范围

DeDeCMS基于PHP+MySQL的技术开发，支持Windows、Linux、Unix等多种服务器平台，从2004年开始发布第一个版本开始，至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场，目前已经有超过二十万个站点正在使用DedeCms或居于 DedeCms核心，是目前国内应用最广泛的php类CMS系统。
通过ZoomEye 网络空间探测引擎进行探测，以下为网络空间上所有的使用了DeDeCMS V5.7 SP2的网站或基于DedeCMS的核心开发，总数超过 97万条，设备总数超25万个，是目前最常见的建站工具之一：

下图为主要国家使用DeDeCMS V5.7 SP2的网站数量，其中中国和美国网站使用数量居榜前：

下图为目前DeDeCMS的相关漏洞：