织梦内容管理系统漏洞入侵(DEDE漏洞) 分享

很老的漏洞了,但是有可能还用的到,暂且记录下:

文章作者:神無月
信息来源:红狼安全小组因为本人不懂PHP所以直接黑箱搞他.现在用官方做演示
官方地址http://www.dedecms.com/
首 先注册个帐号,注册完以后直接在地址栏输入 http://www.dedecms.com/include/dialoguser/select_soft.php 或者include/dialoguser/select_media.php都可以,
我就选-软件管理器- 这里可以创建目录,可是貌似过滤了”.”号.
在游览一个改了后缀名的PHP马,我这里把PHP马改成RAR后缀,你用其他都可以,只要他支持就可 以了,接着在右面的改名的地方把名字改成*.PHP.然后点确定就上传上去了.我这里的路径就在http://www.dedecms.com/upimg/userup/556/phshell.php

呵 呵 这样就可以了.无技术含量 纯粹娱乐不要见笑.
GOOGLE搜Power by DedeCms应该就可以找到用这个系统的站,不过好象蛮多人把上传页删了,剩下的就等大家研究吧,我是坏孩子没有告诉官方.

不知道是谁 拿这个去搞了图王的站,图王又不知道从什么地方搞到了红狼的会员,到原创区把文章切了图出来, 估计神无月要出名了 哦HOHO~

其实这 个漏洞很弱智, 不知道dede为什么要让用户去改文件名  是不是官方故意放的后门?

11 thoughts on “织梦内容管理系统漏洞入侵(DEDE漏洞) 分享

  1. Pingback: rajacapsa

  2. Pingback: ทิงเจอร์ขาว

  3. Pingback: https://carpetcleaningteam.info/usa/carpet-cleaning/wv

  4. Pingback: shoes

  5. Pingback: เซ็กซี่ บาคาร่า

  6. Pingback: https://biznesblog.biz.pl/forum/

  7. Pingback: cornhole game

  8. Pingback: กู้ เงิน ด่วน นอก ระบบ

  9. Pingback: bitcoin qr code generator

  10. Pingback: cbd oil

  11. Pingback: www.cbd-campus.com

Comments are closed.