uploadhandler.php,多个WordPress主题’upload-handler.php’任意文件上传漏洞

于 2021-03-26 17:57:22 发布
阅读量69 收藏
点赞数
文章标签: uploadhandler.php

发布日期:2013-11-17

更新日期:2013-11-19

受影响系统:

WordPress WordPress

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 63768

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设属于自己的网站。

WordPress的多个主题在upload-handler.php的实现上存在远程文件上传漏洞,攻击者可利用此漏洞上传任意文件到受影响计算机,导致任意代码执行。

*>

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://www.example.com/wp-content/themes/amplus/functions/upload-handler.php

http://www.example.com/wp-content/themes/dimension/library/includes/upload-handler.php

http://www.example.com/wp-content/themes/euclid/functions/upload-handler.php

http://www.example.com/wp-content/themes/euclid_v1.x.x/functions/upload-handler.php

建议:

--------------------------------------------------------------------------------

厂商补丁:

阳光下的沈同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jQuery插件ajaxfileupload.js实现上传文件
10-22
这两个部分都包含一个文本输入框(用于显示文件名),一个隐藏的输入框(用于存储文件名),以及两个按钮,一个用于上传文件,另一个用于删除已上传的文件。 ```html <span id="doc"><input type="text" disabled...
HttpHandler实现上传图片
rogerzhanglijie的专栏
02-25 948
一:客户端       利用表单提交数据的过程中,表单数据的提交方式有两种       通过在form表单中设置enctype属性来确定要提交的表单数据之间的分割方式        1:当使用application/x-www-form-urlencoded时,使用的数据分割方式为“&”,这是默认的提交方式        2:当提交的数据中存在文件时(文本文件或图片文件),使用multip
wordpress 自定义_如何在WordPress中自定义媒体上传目录
cune1359的博客
07-05 1052
尽管WordPress媒体管理器有所改进,但一件事情没有改变: WordPress如何在服务器中存储媒体 (例如文件,图像,视频和音频)。 当前,WordPress将文件组织到基于日期的文件夹中,除非我们从“设置”>“媒体”中选择退出,在这种情况下,所有上载的媒体文件都不会归类为子文件夹。 到目前为止,WordPress尚未提供许多选项来自定义此特定区域。 如果您对此不满意,并且...
解决wordpress上传文件限制
Luke技术小站
07-05 3309
1、按照网上的方法修改upload_max_filesize、post_max_size、memory_limit。 查找php.ini的位置 使用命令:php --ini 2、此时再上传提示“从服务器收到预料之外的响应。此文件可能已被成功上传。请检查媒体库或刷新本页。”,这是因为nginx还限制了请求体大小,需要在nginx的虚拟机配置文件中添加: client_max_body_size 50m; 3、此时再提示上传的文件是不支持的类型,因为安全原因不能上传云云。此时修改wp-config.php文件,
图片上传、限制、裁剪功能
韩某的博客
03-09 646
用户肯定都要有自己的头像,这就涉及到了图片的上传、裁剪等,其实很容易实现。 图片上传 直接使用file类型的input标签即可,我们可以通过accept属性来限制上传的文件类型,但是一般避免使用此属性,建议在服务器端验证文件上传。 <input type="file" name="avatar" accept="image/png, image/jpeg"> 这里有一点要注意...
WordPress如何变更图片存储目录uploads并取消按年月存放?
boke112的博客
11-22 1572
​​WordPress 默认情况下会将我们在后台上传的图片存放到/wp-content/uploads/目录中,并且会按年月存放,这样上传之后的图片路径就变成了:你的域名/wp-content/uploads/2020/10/abc.png。有没有办法将这个图片存储目录 uploads 变更为其他文件名并且存放在根目录,同时也取消按年月存放图片呢?如变为:你的域名/tupian/abc.png。 网络上分享有多种方法,不过老古比较喜欢这种修改 WordPress 根目录中的配置文件 wp-config..
C# asp.net 多文件上传 图片上传
07-07
在ASP.NET中,多文件上传和图片上传是常见的功能需求,尤其在开发涉及用户交互的Web应用程序时。本文将深入探讨如何实现这个功能,主要基于C#编程语言。 首先,让我们理解多文件上传的基本概念。在传统的HTTP协议中...
【ASP.NET编程知识】asp.net利用ashx文件实现文件的上传功能.docx
05-18
ASP.NET 实现文件上传功能 本文主要介绍如何使用 ASP.NET 实现文件上传功能,包括两种方法:Form 表单提交和 jQuery + AJAX 无刷新上传。 方法一:Form 表单提交 在 ASP.NET 中,可以使用 Form 表单提交实现文件...
.net 多文件上传
11-08
在.NET开发中,多文件上传是一项常见的功能,它允许用户一次性选择并上传多个文件,极大地提高了用户交互体验。本文将详细讲解如何在.NET环境中实现多文件上传,特别关注使用jQuery Uploadify插件以及Flash的支持。 ...
ASP.NET同时上传多个文件
12-13
这里主要介绍基于旧版ASP.NET的解决方案,即通过JavaScript和隐藏的IFrame技术来模拟多文件上传。 1. **HTML部分**: 在页面上,我们需要创建一个`<input type="file">`元素,通常我们需要设置其`multiple`属性,...
Uploadify jquery+falsh+UploadHandler.ashx
weixin_34025051的博客
12-14 108
官方网:http://www.uploadify.com/ 只有PHP版本 对于我们.net的来说是一个遗憾!现在奉献一个c#版本,希望对大家有用。 看代码其实很简单,在做这个之前遇到许多问题,特别是在IHttpHandler 里面,只有经历过了才会体会到,还是给解决了! 直接运行html出现下面错误  要在vs运行下才没有下面错误         &lt;!DOCTYPE...
使用WebUploader使用,及使用后测试横拍或竖拍图片图片方向不对等解决方案
weixin_30820077的博客
09-12 455
WebUploader是由Baidu WebFE(FEX)团队开发的一个简单的以HTML5为主,FLASH为辅的现代文件上传组件。在现代的浏览器里面能充分发挥HTML5的优势,同时又不摒弃主流IE浏览器,沿用原来的FLASH运行时,兼容IE6+,iOS 6+, android 4+。两套运行时,同样的调用方式,可供用户任意选用。 采用大文件分片并发上传,极大的提高了文件上传效率...
实训十三 DHCP服务器安装与设置.doc
06-29
服务器
1 (8).pptx
06-29
商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板商务风ppt模板
html网页版基于深度学习AI算法对古代织物图案风格鉴定识别-含逐行注释和说明文档-不含图片数据集
06-29
本代码是基于python pytorch环境安装的cnn深度学习代码。 下载本代码后,有个环境安装的requirement.txt文本 运行环境推荐安装anaconda,然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本。 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,会自动读取txt文本内的内容进行训练 运行03html_server.py,生成网页的url了 打开
合宙air001硬件spi驱动7针oled屏幕
06-29
此为官方例程包
财务会计英语常用单词TXT
最新发布
06-29
财务会计英语常用单词TXT
基于Django的博客毕业设计,安装好环境后可以直接跑
06-29
Django搭建个人博客教程 这是面向新人的Django搭建个人博客教程的项目代码。 教程为零基础的小白准备,目的是快速搭建一个博客网站。 基于该代码可以做基于Django的毕业设计。包括以下内容: 03 - 创建 APP 认识项目结构 / 注册 APP / 配置访问路径 04 - 编写 Model Django 模式简介 / 模型简介 编写 Model / Model 字段分解 数据迁移 05 - View 视图初探 第一个视图 网站后台概念 / 创建管理员 / 注册 app 检视数据库 06 - View 及 Template 改写视图函数 编写模板 / 错误分析 Debug 工具 07 - 使用Bootstrap改写模板 配置 Bootstrap 4 编写模板 / 模板继承 08 - 编写文章详情页面 详情页面视图 / 详情页面模板 优化网页入口 / 参数传递 09 - 使用Markdown书写文章 安装 Markdown 在视图中使用 Markdown / 模板渲染 代码高亮 / 故障排查 / 自定义样式 10 - 发布新文章 表单类 / 处理创建请求 / 获取
变电站自动化系统中嵌入式Web服务器的设计与实现.doc
06-29
服务器、电脑、
Django 速成笔记(5) 文件上传 多个文件上传 之三种方法
05-13
在 Django 中,有多种方式可以实现文件上传以及多个文件上传的功能。下面介绍三种常用的方式。 ### 1. 使用 Django 自带的文件上传模块 Django 自带了文件上传模块 `django.core.files.uploadhandler`,可以使用它来处理文件上传。使用该模块的步骤如下: 1. 在 `settings.py` 中配置文件上传路径: ```python MEDIA_ROOT = '/path/to/media/' MEDIA_URL = '/media/' ``` 2. 在需要上传文件的视图函数中,使用 `request.FILES` 获取上传的文件,然后保存文件: ```python def upload_file(request): if request.method == 'POST' and request.FILES: file = request.FILES['file'] with open(os.path.join(settings.MEDIA_ROOT, file.name), 'wb+') as destination: for chunk in file.chunks(): destination.write(chunk) ``` 3. 在模板中添加文件上传表单: ```html <form method="post" enctype="multipart/form-data"> {% csrf_token %} <input type="file" name="file"> <button type="submit">上传</button> </form> ``` ### 2. 使用第三方插件 django-formtools django-formtools 是一个 Django 第三方插件,提供了一些常用的表单处理工具,其中包括文件上传。使用该插件的步骤如下: 1. 安装 django-formtools: ``` pip install django-formtools ``` 2. 在视图函数中使用 `FileUploadView` 处理文件上传: ```python from formtools.wizard.views import SessionWizardView from django.core.files.storage import FileSystemStorage class FileUploadView(SessionWizardView): file_storage = FileSystemStorage(location=os.path.join(settings.MEDIA_ROOT, 'uploads')) def done(self, form_list, **kwargs): file_data = [form.cleaned_data.get('file') for form in form_list] for file in file_data: with open(os.path.join(settings.MEDIA_ROOT, file.name), 'wb+') as destination: for chunk in file.chunks(): destination.write(chunk) return HttpResponse('文件上传成功') ``` 3. 在模板中设置表单: ```html <form method="post" enctype="multipart/form-data"> {% csrf_token %} {{ wizard.management_form }} {% for form in wizard.forms %} {{ form.as_p }} {% endfor %} <button type="submit">上传</button> </form> ``` ### 3. 使用第三方插件 django-storages django-storages 是一个 Django 第三方插件,提供了多种文件存储后端支持,包括本地文件系统、Amazon S3、Google Cloud Storage 等。使用该插件的步骤如下: 1. 安装 django-storages: ``` pip install django-storages ``` 2. 在 `settings.py` 中配置文件存储后端: ```python DEFAULT_FILE_STORAGE = 'storages.backends.s3boto3.S3Boto3Storage' AWS_ACCESS_KEY_ID = 'your-access-key-id' AWS_SECRET_ACCESS_KEY = 'your-secret-access-key' AWS_STORAGE_BUCKET_NAME = 'your-bucket-name' AWS_S3_REGION_NAME = 'your-region-name' ``` 3. 在视图函数中使用 `request.FILES` 获取上传的文件,然后保存文件: ```python from django.core.files.storage import default_storage def upload_file(request): if request.method == 'POST' and request.FILES: file = request.FILES['file'] default_storage.save(file.name, file) ``` 4. 在模板中添加文件上传表单: ```html <form method="post" enctype="multipart/form-data"> {% csrf_token %} <input type="file" name="file"> <button type="submit">上传</button> </form> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值