Dedecms备份文件泄露

最新推荐文章于 2024-05-27 09:51:29 发布
最新推荐文章于 2024-05-27 09:51:29 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 信息安全 文章标签: dedecms 备份文件 漏洞 织梦cms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18501087/article/details/84038389
版权

文章首发公众号:无心的梦呓
在这里插入图片描述
安全库:http://www.seclibs.com/
网络安全爱好者的安全导航,专注收集信安、红队常用网站、工具和技术博客

今天看到一篇比较骚的思路,是织梦cms的,不过按道理来说并不应该是织梦背锅,具体原因会在后面有提到。

  • 这里先声明一下,文章原稿是在tools的,我是从其他地方转载过来的。

详情

1.首先我们来看下 织梦备份数据的方式
01
居然txt保存 首先这个文件 生成方式 大家自己去看代码 应该是不可能暴力猜得到的
2.他的账户密码储存在这里 dede_admin_ 你会懵逼 我到底想说啥
3.开始重点 大家不懂得先去了解下短文件名》》》》》》 apache+windows长文件名可用前6个字符+"~1".ext 访问或者下载文件
4.这样我们是不是能利用了 验证我的想法 我开始了实验 我做了个 python脚本跑了下 请看截图

最低0.47元/天 解锁文章
Vesel『无心』
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--49--常见的数据信息泄露
武天旭的博客
09-22 5322
一、备份文件泄漏 1.1、漏洞描述: 备份文件泄露,在web服务中,常常不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑,为展开其他类型的攻击提供有利信息,降低攻击的难度,可以进一步获取其他敏感数据。
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 7065
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
DedeCMS 漏洞集合
收集盒 Book box
01-03 1395
DedeCMS会员中心分类管理SQL注射 需要magic_quotes_gpc = Off,所以说是鸡肋啊. 发生在数组key里的注射漏洞,有点意思. 这里是盲注,就是麻烦点同样可以利用,可以写个工具,自动话的跑一下 http://www.1990day.com/member/mtypes.php?dopost=save exploit: mtypename[7
渗透实战:dedeCMS任意用户密码重置到内网getshell
最新发布
zzz6583zz的博客
05-27 1030
DedeCMS是一款国产的开源CMS系统,具有使用简单、功能强大、可扩展性好等特点。然而,像其他CMS系统一样,DedeCMS也存在一些安全问题,其中任意密码重置漏洞是其中一个比较严重的漏洞。通过信息泄露,攻击者可以获取到网站的用户的用户名和一些敏感信息,然后通过利用任意密码重置漏洞,在不知道原密码的情况下,重置管理员账号的密码,从而获取管理员权限。接着,攻击者可以通过后台getshell,获取网站的控制权,进而进行各种恶意操作,如上传恶意文件、篡改网站内容、窃取用户信息等。
备份文件泄露
fansenliangren的博客
11-23 1116
应用在开发测试及运行过程中,应用中会遗留过时文件(bak文件、rar打包的源码等)、运维文件(log文件等)、备份源码(如SVN、git等)、渗透测试遗留文件(测试webshell等)、开发文件等敏感信息,可通过浏览器直接访问下载。
自动备份文件泄露(.abk、.php~、.swp等)
weixin_33794672的博客
11-19 699
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9984542.html
浅谈“备份文件泄漏”
→_→
07-11 1984
一:漏洞名称: 备份文件泄漏 描述: 备份文件泄露,在web服务中,尝尝不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑, 为展开其他类型的攻击提供 有利信息,降低攻击的难度,可以进一步获取其他敏感数据。简单的来说: 网站备份文件泄露指管理员误将网站备份文件或是敏感信息文件存放在某个网站目录下。 外部黑客可通过暴力破解文件名等方法下载该备份文件,导
dedecms一键解密工具
10-11
dedecms一键解密工具 用起来方便简单 添加地址直接一键使用 dedecms网络渗透专用
dedecms 网站地图插件
02-15
压缩包子文件文件名称“dedecms XML地图插件(支持Google地图、Baidu地图、RSS地图)”揭示了插件的一些特性。首先,它支持XML格式的地图,这是搜索引擎最常识别的网站地图类型。XML网站地图包含网站的所有重要页面...
织梦dedecms建站详细教程.doc
01-12
由于这个目录下的文件夹较多,为了能使大家能够更好的区别了解,我在这里也为大家简单的整理了一下这些子文件夹的含义:data数据目录├─admin网站后台管理的一些必要配置├─backupdata默认的系统数据库备份目录...
紫色时尚类dedecms手机web模板
05-26
在使用紫色时尚类DEDECMS手机web模板时,用户可以根据自己的需求自定义这些模板文件,例如更改颜色方案、调整布局或添加新的功能。同时,DEDECMS丰富的插件库也提供了扩展模板功能的可能性,如SEO优化、会员系统、...
kaixin.zip_V2 _酒店官网dedecms
09-21
6. **ebak** - 备份目录,通常用来存放数据库备份文件。 7. **data** - 保存网站的配置信息、缓存文件和日志等数据。 8. **uploads** - 用户上传的文件存储位置,如图片、文档等。 9. **plus** - DEDECMS的扩展功能...
织梦dedecms如何备份mysql数据库文件
PHP错误汇总
09-06 244
dedecms如何备份mysql数据库文件 作为一名成功的站长,要养成定时备份网站数据的习惯。一般来说,最好一个星期备份一次。哪么网站数据怎么备份呢?下面以织梦cms 5.7网站数据为案例,给大家讲解下: 登录网站后台,点击:系统—>数据库备份/还原(如图所示) 点击:全选(如图所示),把所有的数据库表都选上。 选择备份数据格式(如图所示),一般是选择最高版本的数据格式,我这里选择了 MySQL4.1.x/5.x 版本。 选好了备份数据格式,然后点击确定(如图所示),开始备份网站数据。 到
web渗透测试----21、网站备份文件泄露
七天
04-22 2366
网站备份文件泄漏
12_敏感信息泄露
weixin_34038293的博客
09-09 378
软件敏感信息 *操作系统版本  可用nmap扫描得知*中间件的类型、版本  http返回头  404报错页面  使用工具(如whatweb)*web程序(cms类型及版本、敏感信息)  可用whatweb、cms_identify Web敏感信息 *phpinfo()信息泄露  http://[ip]/test.php和http://[ip]/phpinfo.php*测...
dedecms备份和恢复教程,新手必看
林中明月间丶
06-15 847
dedecms备份和恢复教程,新手必看 遇到很多不会安装DEDE的朋友,这个教程一定要看,尤其是DEDE重装的方法:适合很多淘宝购买的网站 1、将所有文件上传到服务器; 2、删除install目录下的install_lock.txt,删除install文件夹里面 index.html,并将index.php.bak更名为:index.php; 3、运行http://你的新网址/install...
漏洞复现】Dedecms信息泄露漏洞(CVE-2018-6910)
晚风不及你
12-20 1889
DesdevDedeCMS织梦内容管理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容发布、编辑、管理检索等于一体的PHP网站内容管理系统(CMS)。
dedecms 5.7网站备份该备份哪些内容
zxy840552216的博客
08-24 111
在前面文章的介绍下(使用dedeCMS的网站备份或转移),经过一段时间的网站转移与试验,网站转移或者备份需要备份的内容主要有以下一些:   一、数据库.当然这是最重要的了.   二、模板文件,也就是templets目录下的所有文件。   三、作者或会员上传的文件。主要在uploads目录下。   四、管理类型的内容,如文件来源管理、作者管理等,这些即不在数据库里也不在模板里,而在data目录下的admin目录里,和backup一起,也是需要备份和转移的。当然为了保险起见,data下的内容都最好备份一下。 .
dedecms文件上传漏洞有哪些
05-16
DedeCMS文件上传漏洞主要有以下几种: 1. 文件类型检查漏洞DedeCMS 在上传文件时,只做了文件扩展名的检查,而没有检查文件的真实类型,导致攻击者可以通过伪装文件类型的方式来上传恶意文件。 2. 目录遍历漏洞DedeCMS文件上传时,未对上传的文件路径进行限制,攻击者可以通过构造特定的文件名来绕过上传目录的限制,实现目录遍历攻击。 3. 文件名绕过漏洞DedeCMS 在上传文件时,未对文件名进行过滤,攻击者可以通过构造特定的文件名,绕过文件名检查,上传恶意文件。 4. 权限控制不严格漏洞DedeCMS文件上传时,未对文件上传目录的权限进行严格控制,攻击者可以通过上传恶意文件,覆盖或修改目标文件,实现攻击目的。 以上是 DedeCMS 常见的文件上传漏洞,需要开发者在开发过程中进行防范和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值