今天服务器提示有webshell文件，上去看下确实是被写入了一句话木马。顺藤摸瓜发现织梦/dede/tpl.php竟然存在任意写入漏洞，也不知道这个漏洞有多久了，是否被公开，既然发现了就记录下把，具体是利用tpl.php的文件管理功能，对标签的一个写入漏洞。exp是这样的

访问确定后会在/include/taglib/目录下面生成一个叫leo.lib.php的文件。这个文件里面是一句话木马，就是url里写的PHP代码，如图

(图丢了，自己领悟)

具体想写什么在url里带入就行，接下来上菜刀，链接即可。需要注意一点，生成的文件名必须是 xxx.lib.php

具体防护方法修改后台路径肯定是必不可少的 ，当然现在曝下织梦路径也不是什么难事，首先可以关闭/include/taglib/下的写入权限，其次其实很多网站根本用不着文件管理器，建议直接把tpl.php文件删除或者重命名。