DeleCMS织梦系统后台漏洞解决

最新推荐文章于 2024-09-20 09:40:28 发布
最新推荐文章于 2024-09-20 09:40:28 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: DedeCMS织梦系统 文章标签: 织梦 安全 网站管理 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/webxiaoma/article/details/53835664
版权

背景:DeleCMS织梦系统后台漏洞挺多的,如果我们处理不好,很容易被别人黑了网站,所以网站的安全性是很重要的!

直接上解决方法:

   第一步:我们解决一下织梦系统给我们提示的一些安全要求
    
     1.目前data、uploads有执行.php权限,非常危险,需要立即取消目录的执行权限!

 
     2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT)

          

     3.没有更改默认管理员名称admin,建议您修改为其他管理账号!
        
     4.强烈建议将data目录搬移到Web根目录以外


     5.经常进行一些补丁的更新(系统后台有提示)
        
       

  第二步:利用织梦站长提供的软件进行病毒查杀检测,(360等软件也可以查杀文件)
     


     将下载好的,里面的文件放到你的根目录下!直接登录你的网站,但是后面要跟上你所下载的那个文件名,登录后的界面如上!


   检测好的结果会在下面显示出来,之后你再看看结果如何!

如果写的有什么错误或不好的地方,欢迎读者评论,提宝贵意见!
webxiaoma
关注
专栏目录
织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些
sy_3714的博客
08-17 2577
文章目录使用织梦建站,阿里云中反馈了许多漏洞dedecms /include/payment/alipay.php支付模块注入漏洞修复方案织梦dedecms安全漏洞之/include/common.inc.php漏洞解决办法dedecms任意文件上传漏洞(select_soft_post.php)织梦cms/include/uploadsafe.inc.php漏洞修复方法 使用织梦建站,阿里云中反馈了许多漏洞 现在给大家整理一下织梦漏洞 dedecms /include/payment/alipay.ph
织梦漏洞超级利用工具
07-03
软件功能非常强大,懂的人可以拿去测试呵呵,不懂的人,你也就OUT了!~~
dedecms织梦日志暴露后台地址漏洞BUG修复
09-07 556
然后修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA', DEDEROOT.'/data');修改tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数 > 性能选项,将模板缓存目录值改为 /../data/tplcache。首先用FTP或远程登陆的方式将data/mysql_error_trace.inc更名成 mysql_error_你喜欢的任意字符.inc。通过FTP将/data/文件夹移至web根目录的上一级目录;
织梦CMS渗透测试:从弱口令到接管webshell
xt350488的博客
08-06 1326
关于交流群,后台添加即可401验证,在网络通信和HTTP协议中,特指一种状态码——401 Unauthorized(未经授权)。当客户端尝试访问受保护的资源时,如果未能提供有效的身份验证信息,或者提供的信息不足以获得访问权限,服务器就会返回401状态码,表示请求未被授权。
dedecms织梦后台存在SSRF漏洞怎么解决
09-05 385
设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。dedecms后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传。上传成功之后可以从文件列表中获取到图片链接。设置完成之后,刷新就可以触发ssrf。
织梦dedecms漏洞修复大全(5.7起)
weixin_30472035的博客
12-30 801
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复。修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,...
织梦dedecms后台文件media_add.php任意上传漏洞解决办法
qq_31763129的博客
08-18 1068
织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞,引起的文件是后台管理目录下的media_add.php文件,下面跟大家分享一下这个漏洞的修复方法: 首先找到并打开后台管理目录下的media_add.php文件,在里面找到如下代码:     $fullfilename = $cfg_basedir.$filename; 在其上面添加一段如下代...
阿里云提示织梦后台文件media_add.php任意上传漏洞解决办法
kakashs
01-15 1279
漏洞描述: dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依...
织梦某处设计缺陷导致后台地址泄露 | WooYun-2014-76556 | WooYun
IT技术宅-北方的刀郎
03-21 1882
漏洞概要关注数(113) 关注此漏洞缺陷编号: WooYun-2014-76556漏洞标题: 织梦某处设计缺陷导致后台地址泄露 相关厂商: Dedecms漏洞作者: MuZhU0提交时间: 2014-09-19 14:26公开时间: 2014-12-15 14:28漏洞类型: 设计缺陷/逻辑错误危害等级: 高自评Rank: 15漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞漏洞来源:
织梦DEDECMS系统安全优化设置及漏洞修复大全_防止网站被黑(持续更新)
都说了要微辣
09-09 3474
织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的! 安全设置一:删文件 安装完成后会有一些文件,可以说是冗余文件...
织梦重装漏洞其实并不是那么好利用
weixin_33859844的博客
06-28 182
这个重装漏洞的危害大家应该也知道,我就不多说了,估计又要一批站躺枪了,利用条件是webserver要求是存在apache解析漏洞和install文件夹存在。利用截图:Dedecms在安装后会把安装文件/install/index.php备份成/install/index.php.bak,这个在apache下面是会解析成PHP执行的。看看/install/index.php.b...
织梦dedecms程序安全漏洞include/common.inc.php漏洞解决方法
winkexin的博客
03-23 442
1.受影响版本织梦dedecms 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。2.漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。1.黑客可以通过此漏洞来重定义数据库连接。文章到此为止 请自行完善吧。
织梦最新注入漏洞直接获取管理员帐号
weixin_33696822的博客
06-25 846
把以下代码一个个的复制到地址栏中并确定第一行算是一次确定网址/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs...
DedeCms织梦系统漏洞复现
LIU6636LIU的博客
03-13 2071
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
织梦CMS注入高危漏洞情况
遥远的星星
09-15 2804
织梦CMS注入高危漏洞情况 作者:     时间:2014-04-17   “织梦CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称“DEDE内容管理系统”,在国内应用较为广泛。2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞。受漏洞
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2126
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
CVE-2023-2928 DedeCMS 文件包含漏洞getshell 漏洞分析
shelter1234567的博客
04-07 1129
这样的话一般的利用方式就不行了,好在cms没用禁用掉文件包含的逻辑,我们可以利用/admin/allowurl.txt 这个文件,实现文件包含任意代码执行。可以将用户输入的字符保存到/admin/allowurl.txt ,因为有stripslashes函数的过滤xss无效。file_manage_control.php 页面为用户提供了网站文件管理的功能,访问file_manage_control.php 利用文件包含构造1.php。尝试在php中或txt中添加php执行代码结果被检测了。
DeDecms(织梦CMS)最新版任意用户密码重置漏洞分析
热门推荐
3569
01-11 1万+
http://docs.ioin.in/writeup/xianzhi.aliyun.com/_forum_topic_1926/index.html DeDecms(织梦CMS) V5.7.72 正式版20180109 (最新版) 由于前台resetpassword.php中对接受的safeanswer参数类型比较不够严格,遭受弱类型比较攻击 导致了远程攻击者可以在前台会员中心绕过
API安全推荐厂商瑞数信息入选IDC《中国数据安全技术发展路线图》
最新发布
科技云报道
09-20 303
本次IDC TechScape研究根据技术的市场影响以及各技术的发展阶段,将包括API安全在内的22个新兴及重要的数据安全技术分为变革型技术、增量型技术以及机会型技术三大类别,详细阐述每个单项数据安全技术的发展程度、技术优劣势,并给出IDC在不同技术领域下的产品推荐厂商名录。内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值