dedecms

dedecms漏洞getshell EXP

字号+ 作者:90sec 来源:转载 2016-12-24 14:07 我要评论( )

看贴不回,没JJ 漏洞大家都知道是哪个。 其实我一直在玩。。郁闷 虽然这个漏洞不是我第一个发现的,以前也是朋友告诉我。 但是没公开。我承认想自己留着玩。。以前......

看贴不回,没JJ

漏洞大家都知道是哪个。

其实我一直在玩。。郁闷 虽然这个漏洞不是我第一个发现的,以前也是朋友告诉我。

但是没公开。我承认想自己留着玩。。以前这个漏洞应该很多人知道没发出来而已。

刚看了出的几个exp .. 进后台。还得找后台路径 太麻烦了吧?

getshell 很容易 。 既然刚发出来的是 sql方法getshell 我也看到几个人发了sql增加表mytag的内容。

但是测试了下。。失败

原因: 用的语句是update 很多站 mytag 里面都没内容。那么你用update 那有什么用 修改不了任何数据。只能用 INSERT 当然,语句带#就会暴 错误。。现在要做的饶过即可。以前也出过那么多dede sql 结合饶过,成功INSERT。

构造语句:

EXP:

成功增加。

访问http://blog.icxun.cn/plus/mytag_js.php?aid=9013
生成一句话木马.
菜刀连接 http://blog.icxun.cn/plus/90sec.php 密码 guige

测试OK。


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Root/dedecms/474.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~
精彩导读