DeDeCms 5.7 注入漏洞利用
今天看到了DedeCms 5.7 有个注入漏洞,于是自己写了一个利用工具顺便测试一下。
漏洞描述:搜索关键字“Powered by DedeCMSV57_GBK 2004-2011 DesDev Inc”
获得使用DeDeCMS系统的网站。
在google上翻了几页,决定拿下面这个网站来测试一下。
打开我写的利用工具,把网址和填上,如图
点击暴密码,等几十秒管理用户和密码就会弹出来,不过密码是MD5,要到MD5在线破
解网站破解,如图:
管理账号就是User Name 里面的,密码是那串MD5。
复制Pass框里的32位Md5密码,点击Crack,进入网站破解
哈哈,密码出来了
有了账号密码,进后台拿shell
点击用户名旁边的Login 进入登录页面,输入刚用户名和刚破解的密码
登录成功后,进入后台,选择“附件管理—文件式管理”
点击文件上传,选择菜刀的php 客户端(把后缀名改成jpg)
我这里是使用菜刀连接
然后选择“改名”填写好数据。
像我这样改成php的后缀名,点击确定
菜刀连接1.php
菜刀连接 ok
目录出来了
利用工具下载
5.6有洞吗??请高手帮拿个站..
QQ 99325822
加密代码绕过这个是什么意思啊?
光有密码,没有后台,也没法利用啊~
看他robots.txt有没有后台地址或在谷歌Site
都有防火墙怎么暴密?
防火墙拦截也没办法,可以尝试加密代码绕过
qq:123595504 加我,交流一下
等我有时间吧
QQ20664429
等我有时间吧
找不到后台路径,帐号是出来了,可是没有后台路径一样没用啊?
看他robots.txt有没有后台地址或在谷歌Site
1359213636麻烦你加我下
不是用MFC写的?我一口血能喷出来啊。写个工具这么快。牛人啊。。。
呃。 用易语言写的。
大牛问下,我测试了你的工具为什么?点击暴密码没显示漏洞已经修补!可是弹出来没账号密码啊
地址给我 我试试
http://jizhe.66wz.com 大牛你看地址是这个,点击以后框框是弹出来了,可是是空白了什么都没MD5都没见个。。大牛可否告知QQ交流下
留下你的QQ