奇技淫巧

早上看了先知论坛的这篇文章：解决DEDECMS历史难题–找后台目录 不得不说作者思路确实巧妙，作者巧妙的利用了Windows FindFirstFile和织梦程序代码中对上传图片的逻辑判断，成功在Windows环境下爆破出后台目录。可能一些人不了解Windows FindFirstFile，其实就是Windows在搜索文件时，使用到的一个winapi 函数，有时候我们找不到自己上传的马时，也可以利用它，请阅读下面一段解释：

目前大多数程序都会对上传的文件名加入时间戳等字符再进行MD5，然后下载文件的时候通过保存在数据库里的文件ID 读取出文件路径，一样也实现了文件下载，这样我们就无法直接得到我们上传的webshell 文件路径，但是当在Windows 下时，我们只需要知道文件所在目录，然后利用Windows 的特性就可以访问到文件，这是因为Windows 在搜索文件的时候使用到了FindFirstFile 这一个winapi 函数，该函数到一个文件夹(包括子文件夹) 去搜索指定文件。

利用方法很简单，我们只要将文件名不可知部分之后的字符用“”代替即可，不过要注意的一点是，只使用一个“”则只能代表一个字符，如果文件名是12345或者更长，这时候请求“1”都是访问不到文件的，需要“1 12345# demo.php

访问 http://localhost/demo.php?file=5< ，成功包含5149ff33ebec0e6ad37613ea30694c07.php文件。

下面我们再来看看如何使用这种方式，快速爆破处dedecms后台。代码逻辑，先知的 这篇文章 已经讲的很细了，这里直接看具体payload：

漏洞组合拳 | 重置dedecms管理员后台密码重现及分析