|
简要描述: DEDECMS 一个很久前的文件包含漏洞,这个漏洞长达几年,跨了几个版本,网上也公开过了,不知道是厂商不懂,还是什么,就是不修复。。。很多情况直接导致拿shell 详细说明:http://www.shellsec.com/tech/3016.html
详细描述在这里。。
本地试了一下,最新版本一样可行。
首先利用cookie修改工具,加上 code=alipay
然后访问
http://www.xxx.com/plus/carbuyac ... up/xx/myface.gif%00
直接包含成功
利用条件为GPC OFF ,或者某些环境下的截断。
可以在会员中心里上传个图片木马进行拿shell。
还可以包含dede自身文件进行更多利用,这里就不详细了。
漏洞证明:
|
帐号登录
QQ登录
微信登录
发表于 2014-9-28 10:18:05
