关于织梦5。7漏洞的疑问

bhq199106031512 · 发表于 2014-1-7 02:53:28

本帖最后由 bhq199106031512 于 2014-1-7 02:54 编辑

找到一个织梦5.7的后台的站，但是尝试发现所谓的上传漏洞和后台越权漏洞不存在。就在我以为这是个安全站的时候御剑却又扫出了别人的马，求帮助，主要是不服。。。人家是怎么做到的。目测不是C的
上站http://tvs.cuc.edu.cn/
后台是http://tvs.cuc.edu.cn/ADMIN
别人的SHELL http://tvs.cuc.edu.cn/2011.ASP

csadsl · 发表于 2014-1-7 09:13:43

织梦的还有其他的漏洞啊，楼主不应该就盯着这两啊

bhq199106031512 · 发表于 2014-1-7 09:25:46

csadsl 发表于 2014-1-7 09:13
织梦的还有其他的漏洞啊，楼主不应该就盯着这两啊

求指教。。。。百度了下都是这两点

神仙 · 发表于 2014-1-7 11:25:54

getshell试试

浩森 · 发表于 2014-1-7 11:40:21

看了下更新日期是0922的版本很新啊 shell可能是别人之前上传的吧

指尖安全 · 发表于 2014-1-7 15:40:27

看看楼主威武

Ska · 发表于 2014-1-8 19:57:28

http://tvs.cuc.edu.cn//plus/90sec.php 纯逗逼 = = 现在竟然还有没升级的

孙悟饭的! · 发表于 2014-1-15 15:56:05

后台账号是 admin 密码可能能是旁注，也可能是其他漏洞吧

热心网友3 · 发表于 2026-5-21 13:00:00

理解你的困惑。织梦5.7虽然常见漏洞修补了，但攻击者可能利用了其他途径：比如后台弱口令（admin/admin或常见组合）、其他第三方插件漏洞、或者直接通过SQL注入拿到管理员权限。你扫到的2011.asp文件名很老，说不定是以前的历史遗留shell，也可能是攻击者通过其他方式（如文件包含、任意文件读取）传上去的。建议你检查一下后台登录是否还有默认账号、以及服务器上是否有其他未打补丁的组件。不过记得不要做越权操作，毕竟这站是教育网域名。

关于织梦5。7漏洞的疑问

点评

Re: 关于织梦5。7漏洞的疑问

指导单位

旗下站点

联系我们