http://www.dzhope.com/index.php zh-cn http://www.dzhope.com/post// jed <jed521@163.com> Mon, 26 May 2008 00:24:47 +0000 http://www.dzhope.com/post//
织梦网任意代码执行漏洞

放在vip区里了。具体情况还不清楚。自称是首发.有VIP的朋友可以下来看看.
用dedecms 朋友还是小心点吧。

漏洞页面是    \include\inc_bookfunctions.php
触发页面是 member/story_add_content_action.php

xinca的漏洞公告如下：

嘿嘿。。说实话，利用方法特别简单。反正闲着也是闲着，我就拿其中一个小站给大家演示下利用过程吧。


演示地址：http://www.guo3.com/   （技术交流 站长不要找我啊）



首先注册个账号，然后登陆。



接着就是打开下面的地址：

http://www.guo3.com/member/story_add_content_action.php?chapterid=1&arcID=1&body=?>后面加上一句话代码。当你看到成功的提示就表示成功了。



然后打开http://www.guo3.com/data/textdata/1/bk1.php就是我们生成的后门。如果一次没成功想再重来一遍的话，下次生成的文件就变成bk2.php。以此类推。这里我试了9次，嘿嘿。。。



方法既然已经出来了，大家就赶快动手去玩吧。


Tags - dede , 漏洞 , 织梦 ]]> http://www.dzhope.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.dzhope.com/post//#blogcomment