soft_add.php漏洞,织梦dedecms任意文件注入漏洞最新修复方法

最新推荐文章于 2022-09-07 14:10:32 发布
最新推荐文章于 2022-09-07 14:10:32 发布
阅读量111 收藏
点赞数
文章标签: soft_add.php漏洞

织梦dedecms任意文件注入漏洞最新修复方法

2019-9-27 知你 网站教程

织梦(SQL)注入漏洞最新修复方法,目前版本更新最新,删除会员板块的,只需要修复以下文件即可。

一、/include/filter.inc.php文件,搜索(大概在46行的样子)

return $svar;

修改为

return addslashes($svar);

二、/plus/guestbook/edit.inc.php文件,搜索(大概在55行的样子)

$dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg',

`posttime`='".time()."' WHERE id='$id' ");

修改为

$msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook`

SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");;

三、/plus/search.php文件,搜索(大概在109行的样子)

$keyword = addslashes(cn_substr($keyword,30));

修改为

$typeid = intval($typeid); $keyword = addslashes(cn_substr($keyword,30));

四、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

修改为

if

(preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i',

trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); }

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;;

漏洞修复了,还是有很多文件是存在bug的,不需要用到的话是可以直接删除的!下一次做一个简单的总结!织梦可删除的文件!

发表评论:

昵称

邮件地址 (选填)

个人主页 (选填)

weixin_39711721
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
织梦DedeCms任意文件上传漏洞修复
qq_31763129的博客
07-06 2652
一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)      $fullfilename = $cfg_basedir.$activepath.'/'.$filename;      修改为      if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)...
dedecms注入漏洞 search.php,Dedecms最新注入漏洞分析及修复方法
weixin_33050117的博客
03-18 1440
最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现。原因是此漏洞的利用需要一定的前提条件,而原分析文章当中并没有交代这些,所以这里将我的分析过程以及一些触发的必要条件总结了一下。一. 漏洞跟踪发布时间:2013年6月7日漏洞描述:DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。基于PHP+...
dedecms织梦SESSION变量覆盖导致SQL注入common.inc.php
09-07 275
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入。dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法。补丁文件:/include/common.inc.php
任意文件上传漏洞修复
qq_31763129的博客
05-09 5365
 一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)      $fullfilename = $cfg_basedir.$activepath.'/'.$filename;      修改为      if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml...
织梦dedecms漏洞修复大全注入漏洞
unixtech的博客
12-21 3471
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天乐清网站建设的赵老师就为大家讲解一下如何修复任意文件上传漏洞注入漏洞任意文件上传漏洞修复包含一个文 DEDECMS|织梦|漏洞修复|
VB.net-DG_To_Excel.rar_Jerry_soft.dll_excel_vb.net excel
09-24
5. **使用Jerry_soft.dll**:如果使用Jerry_soft.dll,可能是为了简化上述步骤,提供更方便的方法来快速导出数据。该库可能封装了一些常见的操作,比如自动创建Excel文件、填充数据、保存文件等,从而避免了直接操作...
soft.zip_Soft!_pnn_soft.m
07-14
_pnn_soft.m"表明这是一个关于软计算(Soft Computing)的压缩包,其中包含了名为"pnn_soft.m"的MATLAB源代码文件。软计算是一种计算理论,它包含了模糊逻辑、神经网络和概率推理等非确定性计算方法,旨在处理复杂、...
soft_demodule.zip_64 QAM 调制解调_QAM软_matlab软解调_qpsk 软判决_qpsk软判决
07-14
"soft_demodule.m"文件很可能是MATLAB编写的软判决解调算法的实现代码。通过这个代码,用户可以理解和研究如何应用软判决概念于实际的解调过程,同时进行参数调整以适应不同信道条件。 "OFDM系统中改进的16QAM软...
dw_soft_keyboard.rar_Soft!_pb_数据窗
09-24
标题中的“dw_soft_keyboard.rar_Soft!_pb_数据窗”揭示了这是一个关于PowerBuilder(简称PB)开发的软件,具体来说是一个软键盘界面。在PowerBuilder中,“数据窗”(DataWindow)是一种强大的对象,用于处理数据...
a_soft_compute_PSNR.rar_PSNR software_Soft!
09-24
标题中的"a_soft_compute_PSNR.rar"提示我们这是一个关于计算PSNR(Peak Signal-to-Noise Ratio,峰值信噪比)的软件压缩包。PSNR是评估图像或视频质量的一个重要指标,广泛应用于数字信号处理、图像编码和图像分析...
DedeCMS_V5.8.1 ShowMsg 模板注入远程代码执行漏洞分析
None安全团队
10-29 1011
楔子 晚上在Srcincite上面看到了国外发布的DedeCMS_V5.8.1前台任意未授权命令执行,一时兴起就下下来分析了一波,自己也比较菜,有些点可能都说的不是很明白,其实这洞蛮简单的,有点类似于以前那个dz的前台代码执行,在写入临时tpl缓存文件的时候,缓存内容中存在可控的函数且使用了include进行包含,导致我们可以写入任意代码,造成代码执行,话不多说直接进入正题,漏洞主要是由于include\common.func.php中定义的ShowMsg参数导致的,任何文件存在调用ShowMsg的情况下
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
网站安全专家
08-10 3812
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...
漏洞情报】复现任务
liangtaiwei的博客
12-13 2448
一、漏洞概述 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
dedecms注入漏洞
aomi6689的博客
12-05 2880
版本:Powered byDedeCMSV57_GBK© 2004-2011DesDevInc. 漏洞利用EXP:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,...
dedecms v5.7(build 20150618)的12个漏洞
热门推荐
ccfxue的博客
06-28 1万+
一打开阿里云后台,发现了12个加急处理的漏洞,还没来得及了解阿里云的漏洞检测原理,直接开始着手修复漏洞searching on baidu... ...  : )1.dedecms支付模块注入漏洞 描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。解决:找到 ...
dedecms注入漏洞(edit.inc.php
L_melody的博客
01-19 2641
文件:edit.inc.php 路径:.../plus/guestbook/edit.inc.php 解决方案: 查找文件位置:/plus/guestbook/edit.inc.php ,大概在55行左右,找到: $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".tim...
DEDECMS织梦内容管理系统安全设置(防范网站注入挂马)
IT技术宅-北方的刀郎
03-21 6424
“dede”太脆弱了,早不用早解脱”,“DEDE安全吗,怎么总是被入侵挂马? ”,“天,怎么回事,又被挂马了”经常能碰到这样的抱怨。不“人云亦云”这是无忧主机(www.51php.com)一贯的观点。如果织梦网站管理系统(dedeCMS),真的那么脆弱,那么容易被挂马,那为什么还那么多人选择使用它?据我所知,dede管理系统是有非常多的用户群体的。“网站没有绝对的安全,只有勤劳的站长”我在“无忧主
dedecms织梦模版SQL注入漏洞soft_add.php修复教程
kakashs
01-15 962
漏洞描述: dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 修补方法: /member/soft_add.php文件154行,找到以下代码 $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 ...
织梦dedecms漏洞修复
Aluo 点滴
08-31 8363
自己用dedecms在阿里云上搭建了套网站,之后阿里云漏洞提示,织梦有多个漏洞需要我修复,发我邮箱,今天整理了下,我遇到的漏洞,及我修复的过程。 漏洞描述:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 解决办法:打开根目录下/member/soft_add
soft_demodule.m
最新发布
05-13
soft_demodule.m是一个用于软件解调信号的MATLAB函数。该函数的主要作用是通过对频率偏移进行估计,将频率范围内的FM信号转换成数字信号,从而解调出原始的信息信号。 在函数实现中,首先需要将输入信号进行非线性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值