DedeCms是目前网络上比较流行的一款PHP整站程序，中文名为“织梦内容管理系统”。最近，DedeCms出现了一个严重的漏洞，黑客通过漏洞可以得到网站的物理路径，并且能够曝出管理员账户名和密码，最为恐怖的是可以直接向服务器写入Webshell，而不必通过登录网站后台。到底是什么漏洞这么厉害，黑客是如何达到目的的，让我们来一探究竟吧。

     漏洞成因

     问题出在DedeCms的tag.php文件里，该文件会对变量$tag进行处理，但是由于程序员的疏忽，变量$tag在处理时并不严谨，这样就导致了漏洞的产生。黑客可以利用这个漏洞进行注入攻击，得到网站管理员的账户名和密码简直是小菜一碟，如果该网站的数据库权限为root，黑客还能够直接将Webshell写入到网站目录中，而不必登录网站后台，可谓一击必杀。
 
     寻找入侵目标

     入侵第一步当然是寻找目标了，在百度中以“Powered by DedeCms v_5_1_GBK”为关键字进行搜索，可以找到很多符合条件的网站，建议直接将搜索结果翻到20页以后，因为排名较前的网站一般已经被同行“捷足先登” 了。随便点击一个搜索结果打开网站，将其网站复制下来。

     运行“DedeCms漏洞利用工具”，将网站的网址复制到“网站”选项处，点击下方的“暴目录”按钮，如果“暴目录”成功，在工具中央的浏览窗口中将会出现一个绿色的页面，页面中会标注有网站的物理路径，本例中为“E:\wwwroot\gqmsg\web”。“暴目录”是利用了网站默认的安装文件/install/index.php来实现的，这是因为网站管理员在安装完网站后忘记删除install文件夹导致的，只要这个文件夹在，任何人都能重新安装网站系统，瞬间就可以让整个网站灰飞烟灭，由此可见网站管理员的安全意识相当淡薄。

图1.  得到网站物理路径

     写入Webshell

     如果网站的权限是root，我们可以直接向网站目录写入Webshell。点击工具下方的“导目录”按钮，在“网站目录”处会显示导入后的结果，然后点击 “写网马”按钮，工具会将木马写入到网站根目录，文件名为admincsj.php，提示写入成功后我们就可以用木马进行连接了。

     运行“lanker微型PHP后门客户端”，在木马地址中填入“http://www.***.com/admincsj.php”，在“基本功能列表”中选择相应的功能就可以执行了。

     曝出管理员账户名和密码

     如果网站权限不是root，不能直接写入Webshell该怎么办呢？我们可以曝出网站管理员的账户名和密码。点击工具的“暴密码”按钮，在中间的页面中将会出现管理员的账户名和密码，密码是经过MD5加密的，我们可以通过http://www.cmd5.com/网站进行破解，破解的成功率还是很高的。

图2.  曝出账户名和密码

     拿到管理员权限后，还有什么我们不能做的呢？

图3.  破解出密码