dedecms+5.7+is+php,织梦dedecms5.7版本,漏洞修复解决方法全集

最新推荐文章于 2022-09-06 13:01:10 发布
最新推荐文章于 2022-09-06 13:01:10 发布
阅读量307 收藏
点赞数
文章标签: dedecms+5.7+is+php

bdd7e7201e581851966f670e56674bb8.png

对于用户越多的CMS,研究的人就越多,发现的漏洞越多,在国内DEDECMS必然就成为众人下手的目标了,下面就简单的提供几个织梦cms的漏洞常用解决方法:

那么我们就只能一个一个来修复解决了。修复方法其实也不复杂,找到对应文件然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,看行数,找相近的。

49e1f55cb481d3d55b8c3d31229b20f2.png

1、任意文件上传漏洞修复

/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)

$fullfilename = $cfg_basedir.$activepath.’/’.$filename;

修改为

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename)))

{ ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); }

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;;

340af1e5c1fad4e8ede30909dd84ccff.png

2、后台文件任意上传漏洞

/dede/media_add.php或者/你的后台名字/media_add.php

搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右)

替换成

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;

/include/uploadsafe.inc.php (有2个地方:)

搜索 ${$_key.’_size’} = @filesize($$_key);}

(大概在42,43行左右)

替换成

${$_key.'_size'} = @filesize($_key);

} $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp"); if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)) { $image_dd = @getimagesize($_key); if($image_dd == false){ continue; } if (!is_array($image_dd)) { exit('Upload filetype not allow !'); } }

如果修改后出现文章页面空白页,请仔细查看代码是否多了或者少了大括号},本文件44行是空的,没有代码,请注意。

搜索 $image_dd = @getimagesize($$_key);(大概在53行左右)

替换成

$image_dd = @getimagesize($_key); if($image_dd == false){ continue; }

老规矩大红色地方标记了修改的地方,然后保存,接着备份原文件,比如文件名变为uploadsafe.inc.php.16.08.09.bak。然后上传修改好的文件即可。

扶摇ggr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于PHP的东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
07-25
"v5.7"表示这是DEDECMS的一个特定版本,通常每个版本会包含一些功能改进、错误修复和安全性更新。 【标签】"PHP"表明这个项目是使用PHP语言开发的。PHP是一种广泛使用的服务器端脚本语言,尤其适合于Web开发,可以...
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 1983
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
Dedecms V5.7 SP2版本漏洞利用
dahege666的博客
03-07 9486
一、环境搭建 系统:Win10(64位) 工具:Phpstudy 源码:DedeCMS-V5.7-GBK-SP2-Full 二、安装phpstudy https://www.xp.cn/download.html 安装完成后.... 三、下载dedecms源码 http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5....
织梦CMS5.7最新织梦有效防挂马清马,织梦漏洞修补全!2019-8-30更新
猿计划
08-30 3700
本文为大家详细介绍织梦处理挂马的有效方法!作者分享最新织梦清理木马与防止挂马,织梦网站安全;
DedeCMS_v5.7漏洞复现
热门推荐
qq_51459600的博客
04-06 1万+
DedeCMS_v5.7漏洞复现 环境搭建: 服务器:WinServer2008(10.10.10.143) + phpstudy2018 DedeCMS版本DedeCMS-V5.7-UTF8-SP2 下载地址:https://pan.baidu.com/s/1GQjWSDe7IlMVsVJ7HvrBOw 提取码: i4wk 0x01 URL重定向 版本<=5.7sp2 漏洞复现 payload: http://10.10.10.143/Dedecms/plus/download.php?open
dedecms5.7(织梦)源码解析之程序安装
weixin_34174105的博客
11-27 619
前言 众所周知,dedecms在第一次运行时会检测是否安装,如果没有,则自动跳转到安装界面,进行用户友好的安装步骤,下面我们就来从源码看看这一切是如何完成的。 代码 默认服务器配置入口文件是index.html,index.php等,织梦uploads文件夹中仅有index.php,遂直接运行index.php文件啊,源码如下: <...
基于PHP的东莞蒂凡品牌设计模板DEDECMS核心v5.7源码.zip
10-10
【标题】"基于PHP的东莞蒂凡品牌设计模板DEDECMS核心v5.7源码.zip" 提供的是一款基于PHP编程语言的网站模板,它主要用于品牌设计领域,利用了DEDECMS织梦内容管理系统)的核心框架。DEDECMS是一款广泛应用于中小型...
DEDECMS5.7后台getshell1
08-03
DEDECMS 5.7后台Getshell漏洞分析 DEDECMS 5.7后台Getshell漏洞是近期爆出的一个漏洞,该漏洞允许攻击者在DEDECMS 5.7后台上传恶意文件,从而获取服务器的控制权。下面我们将对这个漏洞进行深入分析。 漏洞成因 ...
php东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip
11-19
版本v5.7可能是该系统的某个稳定版本,包含了核心功能和必要的更新。 【描述】描述中的“php东莞蒂凡品牌设计模板DEDECMS核心 v5.7.zip”强调了这个模板是专为品牌设计公司设计的,可能包含了一些独特的布局、...
带手机版汽车租用公司网站源码 CarRentalCompany.rar
01-21
1、本模板基于DEDECms 5.7 设计,5.5以上的版本都能使用。模板作者介绍:DedeCms特邀设计师,织梦官方论坛版主,多年从事网页设计,网站开发工作. 二、菜单功能 模板安装方法 1、将web文件夹里的文件覆盖到网站根...
dedecmsv5.7织梦CSRF保护措施绕过漏洞
09-06 236
自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。Dedecms V5.7SP2正式版(2018-01-09),对函数输出校验不当导致可以传入恶意数组绕过CSRF防御。打开 /dede/config.php 找到大概在67行。
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现
cheng___yu_的博客
12-14 2106
一、漏洞概述 1.简介 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHPCMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2.漏洞限制 1、 只影响前台账户 2、 只能修改未设置安全问题的账户 3.影响版本 DeDeCMSV
dedecms织梦安全设置漏洞修复大全
sqk210的博客
10-26 1438
  删除member special install 打开plus文件夹除了下面几个文件 其他删除 Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,...
dedeCMS 漏洞修复
xingnang2008的专栏
05-08 875
1. RemoveXSS漏洞 E:\315\www\include\helpers\filter.helper.php 68行: 增加:val=htmlspecialchars(val = htmlspecialchars(val=htmlspecialchars(val); //2019-05-08 修复 2. 【检查】 /plus/search.phpdedecms注入漏洞 3 /plus...
织梦dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞
zxy840552216的博客
07-12 1308
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php...
DEDECMS V5.7 精简版
FromTodayTo的博客
12-06 278
源码介绍 基于DEDECMS官方版删减不常用功能减少注入风险,修复官方已知漏洞和BUG,支持PHP7+ 源码截图
DEDECMS v5.6漏洞复现
_Ralph的博客
01-16 7927
织梦内容管理系统(dedecms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHPcms系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 闲来无事,复现一下dedecms v5.6版
织梦dedecms漏洞修复大全(5.7起)
weixin_30472035的博客
12-30 791
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,...
织梦dedecms5.7漏洞修复大全
徊忆羽菲
05-21 2184
织梦dedecms漏洞修复大全任意文件上传漏洞修复一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)二、后台文件任意上传漏洞三、 /include/uploadsafe.inc.php (有2个地方:)(SQL)注入漏洞修复一、 /include/filter.inc.php文件,搜索(大概在46行的样子)二、/member/mtypes....
dedecms5.7内核
最新发布
12-09
dedecms5.7是一个非常流行的开源网站内容管理系统,它的内核引擎是dedecms5.7则代表了它的版本号。dedecms内核是建立在PHP+MySQL环境下的,它提供了丰富的功能模块和插件,可以帮助用户快速搭建和管理网站。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值