dedecms 文件上传 (CVE-2019-8933)漏洞复现
短信预约 -IT技能 免费直播动态提醒
1.漏洞描述
Desdev DedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)公司的一套基于PHP的开源内容管理系统(CMS)。该系统具有内容发布、内容管理、内容编辑和内容检索等功能。 Desdev DedeCMS 5.7SP2版本中存在安全漏洞。远程攻击者可通过在添加新模板时,将文件名../index.html更改成../index.php利用该漏洞向uploads/目录上传.php文件并执行该文件。 后台路径:/uploads/dede/ 后台密码:admin:admin
2.通过后台登录http://ip:port/uploads/dede/
3.模板-默认模板管理-新建模板
4.在内容框输入php脚本后保存
5.生成-更新主页HTML-浏览选择新建的模板-更改后缀为php...
6.使用蚁剑连接http://ip:port/uploads/index.php
来源地址:https://blog.csdn.net/weixin_42675091/article/details/126673353
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
