常见CMS漏洞之二:DeDeCMS

DedeCMS是织梦团队开发PHP ⽹站管理系统,它以简单、易⽤、⾼效为特⾊,组建出各种各样各具特⾊的⽹站,如地⽅⻔户、⾏业⻔户、政府及企事业站点等。

姿势⼀:通过⽂件管理器上传WebShell

1.访问⽬标靶场其思路为 dedecms 后台可以直接上传任意⽂件,可以通过⽂件管理器上传 php⽂件获取webshell...登陆到后台点击 【核⼼】 --》 【⽂件式管理器】 --》 【⽂件上传】 将准备好的⼀句话代码上传...OK

2.访问上传的文件

姿势⼆:修改模板⽂件拿WebShell

1.与WPCMS类似,直接修改模板拿WebShell..点击 【模板】 --》 【默认模板管理】 --》【index.htm】 --> 【修改】 在⽂件修改中添加⼀句话代码....如下

2.点击 【⽣成】 --》 【更新主⻚HTML】 --》将主⻚位置修改为 【../index.php 】--》 点击 【⽣成静态】 --》点击 【更新主⻚】 再次访问站点⾸⻚可发现变化..

3.访问主⻚,phpinfo更新成功

姿势三:后台任意命令执⾏拿WebShell

1.点击 【模块】 --》 【⼴告管理】 --》 【增加⼀个新⼴告】 --》在 【⼴告内容】 处添 加⼀句话代码--》点击 【确定】

2.点击【代码】--》在图中显示的路径与站点进⾏拼接....访问测试!

3.使⽤菜⼑连接测试...

姿势四:通过后台sql命令执⾏拿webshell

1.访问系统---sql命令⾏⼯具---执⾏ select @@ basedir,获取mysql路径,由此瑞测⽹站绝对路径

2.into outfile写⼊⼀句话⽊⻢

select '<?php @eval($_POST[cmd]);?>' into outfile 'L:/phpstudy_pro/WWW/webshell.php'

3.访问webshell.php 并测试执⾏系统命令

相关推荐
!chen几秒前
Harbor磁盘空间清理指南:如何安全清理半年前的镜像
安全
alex1004 分钟前
Context Compliance Attack:大模型安全的新兴威胁与防御策略
网络·安全·web安全
xiejava10183 小时前
开源安全管理平台wazuh-安装与配置
安全·开源
粟悟饭&龟波功5 小时前
【网络安全】三、入门篇:Web安全常见漏洞概述
安全·web安全
FIN66685 小时前
新天力科技IPO进行时:技术引领未来,创新驱动发展
科技·安全·搜索引擎·产品运营·创业创新·制造
pingao1413786 小时前
道路交通气象站:筑牢交通出行安全防线的智能监测卫士
安全
通信瓦工7 小时前
IEC 62368-1-2023音视频、信息技术和通信技术设备安全标准标准介绍
安全·信息技术·标准下载·标准翻译
大翻哥哥8 小时前
Python 2025:网络安全与智能防御新范式
安全·web安全
运维行者_9 小时前
OpManager 与 iOS 26:开启 IT 运维新时代
运维·网络·网络协议·网络安全·ios·iphone·告警
歪歪10011 小时前
如何在项目中选择使用HTTP还是WebSocket?
网络·websocket·网络协议·计算机网络·http·网络安全