Dedecms V5.7版本后台可以重命名为文件，任何上传的文件都可以重命名为php文件，从而产生getshell。 漏洞的逻辑相对简单。从漏洞的入口文件中，漏洞的入口文件是dede/file_manage_control.php，其部分源代码如下：
关键在于if，因为dede采用了伪全局变量注册机制，因此我们可以在不过滤的情况下声明任意变量。在此文件中，前一个文件只是验证标识是否正确并且不过滤任何变量。换句话说，我们可以控制三个变量$ fmdo，$ oldfilename，$ newfilename。 遵循RenameFile方法，该文件位于dede/file_class.php中：
在此方法中，输入变量只是一个参数拼接操作，它是我们传递的参数之前Web服务的根目录的绝对路径。后续变量没有过滤。这允许我们操纵自己上传的文件。这允许您将任何类型的文件重命名为php文件。 使用：
首先，只需找到一个上传点并上传合法文件。上传后获取文件路径。
这里我正在寻找前台 - >会员中心 - >附件管理，从这里上传一个zip文件，内容是phpinfo（）
您可以在源代码中看到上传文件的路径：
下一个构造函数触发重命名有效负载：
在oldfilename参数中填入文件路径的值，这里注意不要添加反斜杠
newfilename的值是我们要生成的特洛伊木马文件的名称。 （因为我的dede没有放在Web服务的根目录中，我需要在这里添加dedecms /）
Fmdo构造为重命名
最后生成了以下poc:
http://localhost/dedecms2/dede/file_manage_control.php？fmdo=rename＆amp; oldfilename=dedecms2/uploads/userup/1/151QM125-42I.zip＆amp; newfilename=dedecms2/wisdom.php
执行后，访问：http://localhost/dedecms2/wisdom.php 使用存储类型xss可以gethell。 修复解决方案：过滤file_class.php中的$ newname参数，或者过滤file_manage_control.php中的$ newfilename参数以确定文件后缀是否为php。 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。