搜索
查看: 761|回复: 0

某管理协会sql注入root权限可getshell

[复制链接]

2

主题

52

帖子

196

积分

我是新手

Rank: 1

积分
196
发表于 2016-3-27 22:59:14 | 显示全部楼层 |阅读模式
某管理协会sql注入root权限可getshell
通过信息收集,确定主站用了dedecms
该版本有exp了。不知道有没有打补丁,不测试,用另一个思路拿下的。
这个旧版本的泄漏信息还在:

于是找到后台/myth/
继续浏览,发现一处注入:
http://www.cacem.com.cn/expert/index.php
发现还是root权限,这里找路径sql-shell就可以写入一句话了

因为没找到路径,所以是解密后登录后台直接上传成功了。
渗透结束,已通知管理修复漏洞。。
渗透手法不深,投稿至白盟www.chinabaiker.com ,和大家进行学习交流。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表