0x00前言
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
DedeCms和PHPCMS活跃的年代差不多,大概是年前,目前也都少部分人在使用
DedeCMS目前最新版是dedecmsv5.7sp2,最后更新时间大概为年
这里就不记录安装过程了,通过安装过程获知默认后台密码是admin/admin
0x01全局分析
个人习惯是对程序做一个比较明晰的全局分析,至少要知道程序的入口文件是什么流程,程序有多少入口文件,对外部数据有什么全局处理方式等等
对dedecms对全局分析时,首先选择了根目录下的index.php,慢慢分析会发现,dedecms是一个多入口文件的形式,不过每个入口文件的流程都大致相同。
通过全局分析得知dedecms大致有3个主要功能,也通过不同的入口文件进入
1)网站前台首页,没有什么功能点
2)会员中心,默认是关闭该功能的,需要后台打开
3)管理员后台
跟踪前台index.php的流程
首先跟一遍index.php的流程,index.php首先会加载
