织梦系统5.7后台getshell

前言

在Q群上看有人发了一个链接,说是朋友的网站,帮忙检测下

反正我是冒着试试的心态,打开了看下

GETSHELL过程

打开网页是一个企业网站,然后习惯性右键查看源码。

 

很明显是DEDEMCS织梦系统,然后打开默认后台链接http://xxxx/dede成功进入

也是习惯性手动敲了下默认的账号和密码试了下。admin,admin不对,然后admin,123456成功进入。无语中。。。

在看了下版本号和最后更新时间为:07年。V5.7版本

习惯性打开BING,百度,GOOGLE搜索了一下

目测WEBSHELL已经到手。

测试了开前台用户上传图片漏洞失败

参考:https://www.jianshu.com/p/b0eb694be4ac

利用插入广告管理代码GETSHELL成功

参考:https://blog.csdn.net/qq_33020901/article/details/79061282

发现是一个网站架在一个虚拟主机上面,同主机下面有30,40个站点,大多企业站

此WEBSHELL权限不足。无法查看其他站点资料,无法执行命令。

不去折腾了,已经足够了,到此为此。成功收获一名粉丝 :mianqiang:

发表评论

邮箱地址不会被公开。 必填项已用*标注