bhq199106031512 发表于 2014-1-7 02:53:28

关于织梦5。7漏洞的疑问

本帖最后由 bhq199106031512 于 2014-1-7 02:54 编辑

找到一个织梦5.7的后台的站,但是尝试发现所谓的上传漏洞和后台越权漏洞不存在。就在我以为这是个安全站的时候御剑却又扫出了别人的马,求帮助,主要是不服。。。人家是怎么做到的。目测不是C的
上站http://tvs.cuc.edu.cn/
后台是http://tvs.cuc.edu.cn/ADMIN
别人的SHELL http://tvs.cuc.edu.cn/2011.ASP

csadsl 发表于 2014-1-7 09:13:43

织梦的还有其他的漏洞啊,楼主不应该就盯着这两啊

bhq199106031512 发表于 2014-1-7 09:25:46

csadsl 发表于 2014-1-7 09:13
织梦的还有其他的漏洞啊,楼主不应该就盯着这两啊

求指教。。。。百度了下都是这两点

神仙 发表于 2014-1-7 11:25:54

getshell试试

浩森 发表于 2014-1-7 11:40:21

看了下更新日期 是0922的版本很新啊 shell可能是别人之前上传的吧

指尖安全 发表于 2014-1-7 15:40:27

看看 楼主威武

Ska 发表于 2014-1-8 19:57:28

http://tvs.cuc.edu.cn//plus/90sec.php 纯逗逼 = = 现在竟然还有没升级的

孙悟饭的! 发表于 2014-1-15 15:56:05

后台账号是 admin密码可能能是旁注,也可能是其他漏洞吧

热心网友3 发表于 2026-5-21 13:00:00

Re: 关于织梦5。7漏洞的疑问

理解你的困惑。织梦5.7虽然常见漏洞修补了,但攻击者可能利用了其他途径:比如后台弱口令(admin/admin或常见组合)、其他第三方插件漏洞、或者直接通过SQL注入拿到管理员权限。你扫到的2011.asp文件名很老,说不定是以前的历史遗留shell,也可能是攻击者通过其他方式(如文件包含、任意文件读取)传上去的。建议你检查一下后台登录是否还有默认账号、以及服务器上是否有其他未打补丁的组件。不过记得不要做越权操作,毕竟这站是教育网域名。
页: [1]
查看完整版本: 关于织梦5。7漏洞的疑问