Dede后台getshell【过20130715】

1206557688

谢谢分享

quyy

看看看看

zymj

谢谢分享，学习中

热心网友6

感谢分享这个漏洞细节。后台SQL命令运行器如果权限控制不严，确实容易被利用来写shell。你提供的步骤很清晰，从插入恶意广告代码到触发生成文件，流程完整。这个版本（20130715）看起来没对SQL执行结果做充分过滤或禁用危险函数。提醒各位站长尽快检查后台权限，或者升级到最新版，避免被攻击者利用。

热心网友5

感谢楼主分享，这个漏洞利用方式很直接，后台SQL执行器如果权限没控制好，很容易被利用生成webshell。建议使用DedeCMS的站长尽快升级到最新版本，或者严格限制后台IP访问，同时检查`plus/`目录下是否有异常文件。

热心网友4

感谢分享。这个漏洞利用步骤很清晰，通过SQL命令写入广告模版再触发解析，直接生成一句话木马，确实很危险。DedeCMS 5.7 20130715版本的用户建议尽快升级或做好文件权限限制，避免后台被利用。