承接
网站维护 网站升级 数据转换 页面美化 插件二开 BUG修复
热门
插件 板摸 教程 分享 攻略 经验 电脑 服务器
分类
数据转换 网站升级 故障排查 BUG修复 页面美化 插件升级
草根吧»论坛首页 站长交流专区 站长头条 DedecmsV5.6 本地包含漏洞
返回列表 发新帖
查看: 494|回复: 0

DedecmsV5.6 本地包含漏洞

[复制链接]
小草根

6671

热度

1万

元宝

262

贡献

管理员

DZ专员
发表于 2014-9-28 10:18:05 | 显示全部楼层 |阅读模式
简要描述:

DEDECMS 一个很久前的文件包含漏洞,这个漏洞长达几年,跨了几个版本,网上也公开过了,不知道是厂商不懂,还是什么,就是不修复。。。很多情况直接导致拿shell

详细说明:

http://www.shellsec.com/tech/3016.html

详细描述在这里。。



本地试了一下,最新版本一样可行。

首先利用cookie修改工具,加上 code=alipay

然后访问

http://www.xxx.com/plus/carbuyac ... up/xx/myface.gif%00

直接包含成功



利用条件为GPC OFF ,或者某些环境下的截断。

可以在会员中心里上传个图片木马进行拿shell。

还可以包含dede自身文件进行更多利用,这里就不详细了。



漏洞证明:


本地, 包含, 漏洞

相关帖子
回复 <

举报

返回列表 发新帖
 懒得打字嘛,点击右侧快捷回复【最新发布】   【赞助草根吧享更多权益】
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

收藏帖子 返回列表 搜索

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

小黑屋|手机版|草根吧