Technology · 2012 年 4 月 29 日 19

DeDeCms 5.7 注入漏洞利用

DeDeCms 5.7 注入漏洞利用

  今天看到了DedeCms 5.7 有个注入漏洞,于是自己写了一个利用工具顺便测试一下。

 

 漏洞描述:搜索关键字“Powered by DedeCMSV57_GBK 2004-2011 DesDev Inc

  获得使用DeDeCMS系统的网站。

  

   在google上翻了几页,决定拿下面这个网站来测试一下。

 

   打开我写的利用工具,把网址和填上,如图

  点击密码等几十秒管理用户和密码就会弹出来,不过密码MD5,要到MD5在线破

解网站破解,如图:

管理账号就是User Name 里面的,密码是那串MD5

复制Pass框里的32Md5密码,点击Crack,进入网站破解

哈哈,密码出来了

有了账号密码,进后台拿shell

点击用户名旁边的Login 进入登录页面,输入刚用户名和刚破解的密码

登录成功后,进入后台选择“附件管理文件式管理”

点击文件上传,选择菜刀的php 客户端(把后缀名改成jpg

我这里是使用菜刀连接

然后选择“改名”填写好数据。

像我这样改成php的后缀名,点击确定

菜刀连接1.php

菜刀连接 ok

目录出来了

利用工具下载