织梦dedecms后台文件media_add.php任意上传漏洞解决办法

最新推荐文章于 2024-04-07 16:20:44 发布
置顶 最新推荐文章于 2024-04-07 16:20:44 发布
阅读量3k 收藏 1
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31763129/article/details/80092626
版权

织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞,引起的文件是后台管理目录下的media_add.php文件,下面跟大家分享一下这个漏洞的修复方法:

 

首先找到并打开后台管理目录下的media_add.php文件,在里面找到如下代码:


 

1$fullfilename = $cfg_basedir.$filename;


在其上面添加一段如下代码:        

 
1if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){
2                ShowMsg("你指定的文件名被系统禁止!",'java script:;');
3                exit();
4            }
 
 
 
添加完成后保存并替换原来的文件即可。
特日根1602813998
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些
sy_3714的博客
08-17 2379
文章目录使用织梦建站,阿里云中反馈了许多漏洞dedecms /include/payment/alipay.php支付模块注入漏洞修复方案织梦dedecms安全漏洞之/include/common.inc.php漏洞解决办法dedecms任意文件上传漏洞(select_soft_post.php)织梦cms/include/uploadsafe.inc.php漏洞修复方法 使用织梦建站,阿里云中反馈了许多漏洞 现在给大家整理一下织梦漏洞 dedecms /include/payment/alipay.ph
织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法
qq_31763129的博客
04-26 6623
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件织梦安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下: 我们找到并打开/include/dialog/select_...
DedeCMS V5.7文件上传漏洞复现
weixin_51047454的博客
03-20 1226
CVE-2018-20129-DedeCMS V5.7 SP2前台文件上传漏洞复现 登录管理页面后,开启会员功能(默认是关闭的) 回到首页,用户登录后,点击会员中心。 打开内容中心(第一次进入会提示完善个人信息,完善一下,不然不能操作) 重点开始 4. 发表文章的表单最下方有一个图片的图标,点击可以选择上传图片到服务端。 制作图片码 上传 抓包修改文件后缀:p*hp 连接,成功 代码审计 为什么用.ph%p就可以绕过检测了?我们来看看源码中的问题部分。 找到图片的校验部分的源
dedecms织梦日志暴露后台地址漏洞BUG修复
09-07 534
然后修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA', DEDEROOT.'/data');修改tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数 > 性能选项,将模板缓存目录值改为 /../data/tplcache。首先用FTP或远程登陆的方式将data/mysql_error_trace.inc更名成 mysql_error_你喜欢的任意字符.inc。通过FTP将/data/文件夹移至web根目录的上一级目录;
CVE-2023-2928 DedeCMS 文件包含漏洞getshell 漏洞分析
最新发布
shelter1234567的博客
04-07 909
这样的话一般的利用方式就不行了,好在cms没用禁用掉文件包含的逻辑,我们可以利用/admin/allowurl.txt 这个文件,实现文件包含任意代码执行。可以将用户输入的字符保存到/admin/allowurl.txt ,因为有stripslashes函数的过滤xss无效。file_manage_control.php 页面为用户提供了网站文件管理的功能,访问file_manage_control.php 利用文件包含构造1.php。尝试在php中或txt中添加php执行代码结果被检测了。
dedecms织梦后台存在SSRF漏洞怎么解决
09-05 358
设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。dedecms后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传上传成功之后可以从文件列表中获取到图片链接。设置完成之后,刷新就可以触发ssrf。
dedecms 文件上传 (CVE-2019-8933)
weixin_57567689的博客
10-21 717
dedecms 文件上传 (CVE-2019-8933)
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
管理后台UI.rar_dedecms_dedecms后台新样式_dedecms和ui
09-24
【标题】"管理后台UI.rar" 是一个与 Dedecms织梦内容管理系统)相关的压缩文件,其中包含的 "dedecms_dedecms后台新样式_dedecms和ui" 指示了这个资源是针对Dedecms系统的后台界面进行了设计和优化,特别是风格上...
ask.rar_ask module_ask问答_dedecms_mark_ico.gif
09-24
《深入解析DedeCMS问答模块及其模板应用》 在当今互联网时代,互动性强、用户参与度高的问答系统已经成为网站不可或缺的一部分。DedeCMS织梦内容管理系统)作为一款深受开发者喜爱的开源CMS平台,其丰富的功能和...
织梦dedecms建站详细教程.doc
01-12
织梦DEDecms建站详细教程 DEDecms是一款流行的内容管理系统,拥有强大的功能和灵活的架构。本教程旨在指导读者快速搭建一个基于DEDecms的网站,涵盖环境配置、程序安装、系统文件夹讲解等多个方面的内容。 ...
织梦漏洞超级利用工具
07-03
软件功能非常强大,懂的人可以拿去测试呵呵,不懂的人,你也就OUT了!~~
dedecms织梦首页分页插件_hexo分页_dedecms_织梦csm_
10-03
织梦CMS默认首页文章列表是不能分页的,但是我这个网站主页做个人博客网站的,首页要用到分页,所以装了织梦首页分页插件这个插件来实现。但是装完插件后发现,首页分页URL地址是index**.html这种格式,和我原来hexo...
DEDEC CMS v5.7 文件上传
qq_52469895的博客
04-11 2230
首先我们要进入后台 密码账号都是admin 访问/dede/tpl.php?action=upload,审查源码,获取我们的token值。 可以用taken值直接文件上传 拿到token值后构造dede/tpl.php?filename=shell.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=c12bf4a8330732e9f45a492d54399803 然后访问http:
代码审计--CatfishCMS文件上传漏洞
Nginxx的博客
12-07 459
声明:本公众号大部分文章来黑白之间安全团队成员的实战经验以及学习积累,文章内公布的漏洞或者脚本都来自互联网,未经授权,严禁转载。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本团队无关。 前言 逛 cnvd 的时候看到 catfish cms 的文件上传漏洞,于是审了审,就发现了这两处文件上传,具体是不是该漏洞,还有待考证。 CNVD编号 CNVD-2021-42363 影响范围 文中标的是 Catfish CMS V5.9.6 ,但这里这个我看了下,最新能下载到的 v5.9.
empirecms 文件上传 (CVE-2018-18086)漏洞复现
weixin_42675091的博客
09-02 1342
empirecms 文件上传 (CVE-2018-18086)漏洞复测
织梦dedecms后台文件任意上传漏洞
qq_31763129的博客
07-06 3180
 /dede/media_add.php或者/你的后台名字/media_add.php搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右)      替换成            if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#...
dedecms后台文件任意上传漏洞media_add.php
L_melody的博客
01-19 2204
文件media_add.php 路径:.../dede/media_add.php 解决方案: 查找文件位置:/dede/media_add.php,大概在69行左右,找到: $fullfilename = $cfg_basedir.$filename; 修改为: if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php...
/DedeCMS/dede/file_manage_control.php
05-27
`/DedeCMS/dede/file_manage_control.php` 是织梦(DedeCMS) 的一个文件管理控制脚本,用于管理网站中的文件和目录。通过该脚本,网站管理员可以上传、下载、删除、编辑和移动文件,以及创建、删除和移动目录等操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值