dedecms 5.7教之前的版本有了很大的改进，

修复了5.6以下版本严重的上传0day；

相当的鸡肋，前提是有了后台权限。

由于系统自带的文件管理器插件没有过滤文件上传及编辑后保存的文件名，

导致直接写入webshell漏洞。

漏洞测试：

1、进入后台，默认的是dede，http://www.hackqing.com/dede，

左边导航栏目，选择模块>辅助插件>文件管理器

(系统默认安装的，如果没有请在插件管理器中自行安装)>然后选择新建文本(或者文件上传)……

如上图：文件名称随便填，例如1.php；内容出填写一句话；菜刀连接。

下面的上传也一样，没有过滤文件扩展名，导致上传任意文件。