dedecms v5.7 注入漏洞利用

dedecms 的这个漏洞已经是老漏洞了,只不过今天同学给我说他明天去面试

所以就顺手给他去面试的那家公司做个安全测试,就把过程记录下来吧:

首先打开目标站点:

右击查看网站源代码,发现几个比较特殊的地方:

可以看到根目录有a文件夹和uploads,对于dedecms熟悉的人都知道,dedecms有a和uploads/allimg目录,

抱着试试的心态目标站点后面加上member看看,一般做二次开发不带会员中心的话member基本还是原因,

也就能判断出目标系统:

可以清楚的看到目标是dedecms系统