忘记密码?

一键登录

草根吧源码论坛

DedecmsV5.6 本地包含漏洞

查看: 325|回复: 0

DedecmsV5.6 本地包含漏洞

[复制链接]

5760

主题

704

热度

2213

贡献

管理员

Rank: 9Rank: 9Rank: 9

DZ专员

发表于 2014-9-28 10:18:05 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
简要描述:

DEDECMS 一个很久前的文件包含漏洞,这个漏洞长达几年,跨了几个版本,网上也公开过了,不知道是厂商不懂,还是什么,就是不修复。。。很多情况直接导致拿shell

详细说明:

http://www.shellsec.com/tech/3016.html

详细描述在这里。。



本地试了一下,最新版本一样可行。

首先利用cookie修改工具,加上 code=alipay

然后访问

http://www.xxx.com/plus/carbuyac ... up/xx/myface.gif%00

直接包含成功



利用条件为GPC OFF ,或者某些环境下的截断。

可以在会员中心里上传个图片木马进行拿shell。

还可以包含dede自身文件进行更多利用,这里就不详细了。



漏洞证明:

草根吧 DedecmsV5.6 本地包含漏洞  站长头条 29122935fd4c195d2a2fbd6196b9877f62f55cd4


帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表