织梦dedecms网站的渗透&后台+shell+提权
说一下目标，本来是渗透某链接网站，专门给网站挂链接的那种，一次收费20元，免审核。流量超大，排名很高的那种网站...
手工尝试一下常见目录和后台,没有发现，目测也看不出是啥cms，看一下robots.txt，竟然没有，无果。
所话说，知己知彼，百战不殆。只有对目标了如指掌了，才能得心应手的去ooxx。
继续逛，发现了这个主站有很多旗下网站，就打开看看，xx站长网，内容也很多站长资讯，，SE教程等等吧，
在网站的右上角有【用户登录】，果断点开看看...
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/388.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="553"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
竟然logo都没修过...无语了...细节绝对成败...好吧，果断上exp
/plus/search.?keyword=as&typeArr[111=@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`#@__admin`#@`\'`+]=a
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/283.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="565"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
直接爆出账户和密码来了，我尽量写点详细点吧...
得到的是20位的MD5，去掉前3位和最后1位，然后就是16位的MD5值了，解之，得到了密码。
说到这里，基本上没有亮点，大多数的DEDE站都能爆出账号和密码，但是，同样大多数网站都把后台地址修改了啊。
输入dede回车，果然没有。
好吧，来试试老版本爆织梦路径的方法吧，
/include/dialog/select_soft.php&
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/153.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="456"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
提示需要输入后台地址，无果，再换一个方法：
/data/mysql_error_trace.inc
此文件记录mysql查询错误，如果有后台查询出现错误，则会暴露后台路径。
输入回车后，啥也没显示，蛋蛋疼了吧...
看了看robots.txt，很明显是织梦默认的robots，但是没有发现后台地址...
用工具扫一下吧...
一般被修改了默认后台地址的，用工具扫出来的几率几乎为0，因为把dede修改为常见的admin等类似地址，
等于没修改，但我们不能放过任何一个机会，边扫边手工尝试几个...
尝试了网站名字，跟拼音首字母，也无果，工具也扫完了，no found ！
既然是某某旗下网站，那尝试一下主站的名字吧，也无果，继续各种尝试ing....
打算准备放弃了，最后把域名复制了一下，回车后，竟然来到了熟悉的登录框...
织梦后台拿shell的方法很多，文件管理器里面没有东东，那就新建模板吧。
【模版】----【默认模板管理】----【上传模板】---【选择文件】
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/207.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
将php大马或者一句话修改为fuck..htm,然后上传...
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/227.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
上传后，可以直接打开...
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/735.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="555"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
打开我们的马...下一步，提权...
对于php网站，我一般用mysql提权，但是前提必须的root权限，好，来看一下:
/data/config.file.inc.php
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/900.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
编辑---可以看到信息，数据库名，用户，密码等，没有让我失望，是root权限，哈哈..
打开提权，输入密码，安装DLL，如图:
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/916.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
提示安装成功...
执行 ver 回显:
Microsoft Windows [版本 5.2.3790]
& & succeed!
然后添加账户，提升管理组，各种成功。
远程连接，显示登陆页面，竟然开了3389端口，呵呵，...又省事了
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/160.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="585"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
发现是一个VPS，旗下网站都在这上面，没有主站，但上面也有好几千人的数据...
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。网站导航：
热门搜索：
您现在的位置： >
> 浏览信息
dedecms 5.7后台拿SHELL漏洞
时间: 15:05
来源: 作者:
dedecms 5.7教之前的版本有了很大的改进，
修复了5.6以下版本严重的上传0day；
相当的鸡肋，前提是有了后台权限。
由于系统自带的文件管理器插件没有过滤文件上传及编辑后保存的文件名，
导致直接写入webshell漏洞。
方法一见：dedecms5.7拿SHELL漏洞即修复
漏洞测试：
1、进入后台，默认的是dede，/dede，
左边导航栏目，选择模块&辅助插件&文件管理器
(系统默认安装的，如果没有请在插件管理器中自行安装)&然后选择新建文本(或者文件上传)&&
如上图：文件名称随便填，例如1.php；内容出填写一句话；菜刀连接。
下面的上传也一样，没有过滤文件扩展名，导致上传任意文件。
本文标题：
本文地址：
免责声明：本文仅代表作者个人观点，与本站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。& & 漏洞说明：dedecms 5.7教之前的版本有了很大的改进，修复了5.6以下版本严重的上传0day；相当的鸡肋，前提是有了后台权限。由于系统自带的文件管理器插件没有过滤文件上传及编辑后保存的文件名，导致直接写入webshell漏洞。& & 关键词：Powered by DedeCMSV57_GBK& & 漏洞测试：& & 1、进入后台，默认的是dede，http:///dede，左边导航栏目，选择模块>辅助插件>文件管理器(系统默认安装的，如果没有请在插件管理器中自行安装)>然后选择新建文本(或者文件上传)……& & & & 如上图：文件名称随便填，例如1.php；内容出填写一句话；菜刀连接。下面的上传也一样，没有过滤文件扩展名，导致上传任意文件。& & & & 漏洞修复：& & html" target=_blank>DEDECMS安全性终极设置
声明：该文章系网友上传分享，此内容仅代表网友个人经验或观点，不代表本网站立场和观点；若未进行原创声明，则表明该文章系转载自互联网；若该文章内容涉嫌侵权，请及时向
上一篇：下一篇：
相关经验教程
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益}