织梦5.7注入加上传漏洞

分类:安全 | 2012-05-5 | 撸过 6,746 次
4人扯谈

会员中心查询会员信息语句过滤不严,导致url可提交注入参数;

会员中心上传动作过滤不严,导致上传漏洞

详细说明:

①注入漏洞

这站 http://www.webshell.cc/

首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,

然后访问

“/member/ajax_membergroup.php?action=post&membergroup=1”

页面,如图说明存在该漏洞。

然后写上语句

查看管理员帐号

https://www.webshell.cc//member/ajax_membergroup.php?action=post&[......]

继续阅读