dedecms安全配置,添加登录管理认证码

最新推荐文章于 2023-01-06 18:04:17 发布
最新推荐文章于 2023-01-06 18:04:17 发布
阅读量297 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33964718/article/details/106025632
版权

dede用的人越来越多,也就引来各种关注,然后就各种漏洞、入侵。最近又爆出了一个堪称全版本都有的漏洞。的确,我googlehack了一下,基本上 5.5-5.7 的版本测试都可以,不过MD5是个硬伤。多余的话就不说了。

其实就是在后台登录界面添加个表单验证而已。管理认证,应该知道吧。动易、帝国的那种,本地字符验证,而不是数据库验证,所以SQL查询不了。入侵时碰到这种登录最纠结,最无奈的。
首先看看,我们要改的是这2个文件/(后台路径)/templets/login.htm 这是后台登录界面,/(后台路径)/login.php 登录消息的处理文件。
----0x1
我们先来改login.htm文件,可能大家的模板不一样,不过自己改改吧。
这是验证表单是否为空的代码,可以直接放在HTML里,也可以link到JS文件里。

<script language="javascript">
<!--
var closestr=0;
function SetFocus() {
var df = document.form1;
if(df.userid.value == '')
df.userid.focus();
else
df.userid.select();
}
function CheckForm() {
var df = document.form1;
if(df.userid.value == '') {
alert('请输入用户名!');
df.userid.focus();
return false;
}
if(df.pwd.value == '') {
alert('请输入密码!');
df.pwd.focus();
return false;
}
if (df.validate.value == '') {
alert ('请输入您的验证码!');
df.validate.focus();
return(false);
}

if (df.vacodes.value == '') {
alert ('请输入您的认证码!');
df.vacodes.focus();
return(false);
}
}
//-->
</script>

----0x2
这是我的form框架和input提交。其实那个认证码的input 直接复制 用户名的 input或密码 的input就可以。改下name名就可以了!

<form name="form1" id="form1" method="post" action="login.php" onsubmit='return CheckForm();'>
<input type="hidden" name="gotopage" value="<?php if(!empty($gotopage)) echo $gotopage;?>" />
<input type="hidden" name="dopost" value="login"/>
<ul>
<li><span>用户名:</span>
<input type="text" name="userid" class="input_out" maxlength="20" style="width:148px;" onfocus="this.className='input_on';this.onmouseout=''" onblur="this.className='input_off';this.onmouseout=function(){this.className='input_out'};" onmousemove="this.className='input_move'" onmouseout="this.className='input_out'"/>
</li>
<li><span>密&nbsp;&nbsp;码:</span>
<input type="password" name="pwd" class="input_out" maxlength="20" style="width:148px;" onfocus="this.className='input_on';this.onmouseout=''" onblur="this.className='input_off';this.onmouseout=function(){this.className='input_out'};" onmousemove="this.className='input_move'" onmouseout="this.className='input_out'"/>
</li>
<li><span>认证码:</span>
<input type="password" name="vacodes" class="input_out" maxlength="20" style="width:148px;" onfocus="this.className='input_on';this.onmouseout=''" onblur="this.className='input_off';this.onmouseout=function(){this.className='input_out'};" onmousemove="this.className='input_move'" onmouseout="this.className='input_out'"/>
</li>
<li><span>验证码:</span>
<input name="validate" type="text" id="vdcode" style="width:50px;text-transform:uppercase;" onfocus="this.className='input_on';this.onmouseout=''" onblur="this.className='input_off';this.onmouseout=function(){this.className='input_out'};" onmousemove="this.className='input_move'" onmouseout="this.className='input_out'" class="input_out"/>
<img id="vdimgck" src="../include/vdimgck.php" alt="看不清?点击更换" align="absmiddle" style="cursor:pointer" onclick="this.src=this.src+'?'"/></li>
<span>&nbsp;</span>
<input name='Submit' type='image' style='width:60px; HEIGHT: 25px;' src='img/submit.gif' width='60' height='27'/>
</li>
</ul>
</form>

=====================================
然后就是提交验证(/login.php)了!代码第50行就有注释 //登录检测 。。我们把验证内嵌在

if (!empty($userid) && !empty($pwd)) {
$res = $cuserLogin->checkUser($userid, $pwd);
//success
if ($res == 1) { 
里,如下。
if (!empty($userid) && !empty($pwd)) {
$res = $cuserLogin->checkUser($userid, $pwd);
//success
if ($res == 1) {                                                   //嵌套到这里面!
$uservacodes = $_POST['vacodes'];               //取出vacodes内容放入另一个变量
if ($uservacodes != '认证码自定义') {               //自行修改认证码自定义内容!
ResetVdValue();
ShowMsg('认证码不正确!', 'login.php', 0, 1000);       //不等于跑这里
die;
} else {                                                             //等于就跑这里
$cuserLogin->keepUser();
if (!empty($gotopage)) {
ShowMsg('成功登录,正在转向管理管理主页!', $gotopage);
die;
} else {
$uservacodes = $_POST['vacodes'];
ShowMsg('成功登录,正在转向管理管理主页!', 'index.php');
die;
}
}

解释:先验证图片验证码,在验证用户名,在验证密码,最后验证认证码,以免认证码被爆破。

注意:if的块语句{}一定要对应。不然会出错,可以用Notepad++来修改!

Ps:也可以把认证码比较那里设置成变量,链接到包含的文件里!比如config文件,自己操作吧。个人博客我就不讲究互动性了!其他的网站源码也大同小异,找到登录界面和提交页面,修改之即可。

源码地址:https://download.csdn.net/download/qq_33964718/12404172
解压替换至后台就可以使用!

在这里插入图片描述

嘘。安静!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dedecms登陆验证以及保存登陆状态
xiaoxinshuaiga的博客
05-23 1710
function checkUser($username, $userpwd) { global $dsql; //只允许用户名和密码用0-9,a-z,A-Z,'@','_','.','-'这些字符 $this-&gt;userName = preg_replace("/[^0-9a-zA-Z_@!\.-]/", '', $user...
织梦DedeCMS管理员动态密码登录插件下载
Enweitech Software Works
06-16 1572
织梦DedeCMS管理员动态密码登录插件下载 插件介绍 还在害怕后台管理目录被黑客扫出来?还在因害怕管理员账号密码被漏洞爆出而频繁修改密码? 还在因为长时间没有登录后台导致管理员密码经常忘记?还在为了提高后台安
Dedecms 猜后台管理员账号的一个小技巧
测试
09-20 299
巅峰极客里遇到的一个案例(yx-tv.com)。 案例为,windows下的dedecms 好像是2017版本, 开启了会员中心,修改了后台的路径,然后用之前windows下dedecms找后台路径的方法, 发现tags.php被删除了,但是plus/rss.php文件存在, 然后用这方法就成功的找到了后台。 1234567891011121314151617import requestsimpo...
【网络安全】Duomicms的变量覆盖漏洞从白盒测试到实战
m0_59598029的博客
01-06 85
声明:本次实践是在合法授权情况下进行,数据已经全部加密,主要是提供思路交流学习,请勿用于任何非法活动,否则后果自负。
login.php gotopage,DedeCMS前台鸡助Getshell漏洞
weixin_36068015的博客
03-29 438
@phpice 后台再次编辑有问题,先把你的回复用我的账号发,晚点给你恢复过来我在16年的时候也以为是一个前台的漏洞,并提交给了先知,被驳回了,再后来我仔细测试后发现其实这是一个后台漏洞。如果不仔细读代码确实很容易被误导。你能在本地测试成功是因为你先登录了后台,此时已经存在了一个登录后台成功的session,然后再没用注销登录的情况下直接访问member目录,这个时候前台自动登录了admin账号,...
dedecms的问题
风的专栏
05-11 2713
解决dedecms文章空白问题 htmlspecialchars(cn_substrR($title,$cfg_title_maxlen) , ENT_COMPAT, GB2312); 解决dedecms登录页空白问题 想试试织梦的产品,下载了DedeCMS V5.7版本,在本地部署后,正确登录后台的情况下页面没有任何输出和显示(错误登录或密码错误时才有显示)
DedeCMS后台管理系统会员登录模板源码.rar
01-29
DedeCMS后台管理系统会员登录模板源码
dede数据库结构DEDECMS数据库配置.doc
10-03
* `dede_admin`:管理员信息表,包含管理员ID、用户类型、用户登录ID、用户密码、用户笔名、真实姓名、电子邮箱等信息。 数据库连接信息 在DEDECMS数据库配置文件中,数据库连接信息是通过以下变量定义的: * `$...
织梦dede管理员密码修改工具
01-22
织梦DedeCMS)是一款广泛应用的开源中国内容管理系统,以其强大的内容管理和自定义功能深受广大网站管理员喜爱。然而,如同任何系统一样,有时用户可能会遇到忘记管理员密码的问题,这会严重影响到对网站的正常...
DedeCMS伪静态配置.zip_QI1_U6Z_dedecms_伪静态
09-15
DedeCMS伪静态配置详解》 DedeCMS,全称是"DeDe Content Management System",是一款基于PHP+MySQL的开源内容管理系统。在网站优化过程中,伪静态配置扮演着至关重要的角色,它能将动态URL转化为静态化的HTML页面...
更新织梦注册登陆窗与调用页头页尾
09-22
更新织梦注册登陆窗与调用页头页尾 更美更漂亮!!有要用的快下载哟!
dedecms注册登录功能
热门推荐
linhui03的博客
10-11 1万+
dedecms有注册登录功能,我们只需要根据已有的代码逻辑根据自己的情况进行适当的修改就可以了。 首先是注册和登录两个按钮的链接分别是: 注册:注册  对应注册页:member/templets/reg-new.htm 登录登录   对应注册页:member/templets/login.htm 基本上根据提交的页面进行相应的修改就行了,没什么难点; 有个注意的地方就是登录成功后要
DedeCMS自学教程5、织梦CMS顶部添加横向登录
sgjjuaw的专栏
01-07 672
DedeCMS自学教程5、织梦CMS顶部添加横向登录DedeCMS自学教程5、顶部添加横向导航。本节以DedeCMS默认风格为例,所以,如果你站点使用的不是默认模板,要灵活修改。 1、DedeCMS默认风格里,顶部左边有一段话"织梦CMS - 轻松建站从此开始!",很多朋友想把这段话修改成一个横向登录框。 2、打开头部公用模板文件templets/default/
管理员登陆页面php,Dedecms管理登录输入账号密码点击登陆又回到登陆界面
weixin_35271253的博客
03-25 3443
织梦dedecms这款开源内容管理系统在php虚拟主机上搭建网站的确非常方便,效率当然也是很高的。可是这款程序毕竟是开源的,缺少定期的升级打补丁,之前版本的最大的问题就是很容易被挂马,挂黑链等等。现在升级到最新的5.7版本了这方面的安全性的确得到了很大的提升了。可是别的方面当客户使用过程中稍有改动就会导致前台格式乱。后台登陆不了,小编今天遇到一个客户就是使用这款开源程序搭建的一个企业站点可是再登陆...
dede添加会员功能听语音
lxw1844912514的博客
08-12 573
http://jingyan.baidu.com/article/363872ec36d33f6e4ba16fb7.html 其实 dede里面的 会员功能就是圈子模版啦 圈子 安装了 基本上有 1,会员登陆 2,会员注册(企业注册) 3,会员密码找回(通过回答密保问题找回)(通过邮箱找回密码) 4,会员头像上传 5,会员空间 5,好友互相添加等等。 。。。。 总之 有很...
dedecms验证码需要开启php,织梦Dedecms为自定义表单添加验证码功能
weixin_42204453的博客
03-21 86
使用织梦Dedecms自定义表单的时候,即使你做了字段的验证,也很有可能被人刷很多垃圾的内容,更加安全的一个方法是为自定义表单添加验证码功能。今天我就来为大家分享一下怎样给自定义表单添加验证码!一、添加表单验证码首先登录网站后台,找到你自定义表单的管理(修改)页面,你会看到表单发布时调用的模板,如下图:这个模板位于 /templets/plus/ 目录下,我们打开相应的模板,在echo $pos...
**织梦DeDeCMS漏洞还原**
weixin_45289466的博客
11-01 723
织梦DeDeCMS漏洞还原 运行环境: 艰难版本:apache+php+mysql(链接放这了,太过难搞,新手用下面) apache2.46:https://www.apachelounge.com/download/ php7.46:https://windows.php.net/download#php-7.4 mysql5.6:https://downloads.mysql.com/archives/community/ 都是zip安装包解压使用。 简易版本用PHPstudy_pop(8.1)(太喜欢
dedecms的xss漏洞冒充管理
最新发布
06-13
这可能会导致未经授权的用户获得管理员权限,例如修改配置、发布帖子等。 具体防范措施包括但不限于: 1. 对用户输入进行严格的输入验证和转义处理,防止脚本被执行。 2. 使用HTTPS加密传输,减少信息泄露的风险。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值