某decms v5.7 sp2 后台 getshell

广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪

前言

Dedecms最新版后台getshell太多了,以往漏洞复现可参考[代码审计day3]Dedecms

版本:deedcms v5.7 sp2

下载链接:http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz

漏洞利用

在后台默认模板管理先创建一个html。内容为一句话webshell。



接着在生成处更新主页的HTML,可以看到成功在index.php中写入一句话webshell


最终上菜刀

漏洞分析

下面给出代码如何被写入index.php的

在/dede/makhtml_homepage.php





漏洞修复

等官方的吧。

如果遇到资源下载失效,请复制当前文章链接类型客服处理!
找源码 » 某decms v5.7 sp2 后台 getshell