织梦guestbook.php漏洞,DEDE:织梦漏洞修复(含任意文件上传漏洞与注入漏洞)

最新推荐文章于 2024-03-13 21:23:03 发布
最新推荐文章于 2024-03-13 21:23:03 发布
阅读量379 收藏
点赞数
文章标签: 织梦guestbook.php漏洞

这几天阿里频繁提醒网站有漏洞,搞得我不胜其烦,好吧,我修复还不行吗?搜索之后整理如下,仅供参考(5.7以上版本适用):

任意文件上传漏洞修复

一、/include/dialog/select_soft_post.php文件,搜索(大概在72行左右)

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

修改为

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$activepath.'/'.$filename;

(SQL)注入漏洞修复

一、 /include/filter.inc.php文件,搜索(大概在46行左右)

return $svar;

修改为

return addslashes($svar);

二、/member/mtypes.php文件,搜索(大概在71行左右)

$query = "UPDATE `dede_mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

修改为

$id = intval($id); $query = "UPDATE `dede_mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

三、 /member/pm.php文件,搜索(大概在65行左右)

$row = $dsql->GetOne("SELECT * FROM `dede_member_pms` WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')");

修改为

$id = intval($id); $row = $dsql->GetOne("SELECT * FROM `dede_member_pms` WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')");

四、 /plus/guestbook/edit.inc.php文件,搜索(大概在48行左右)

$dsql->ExecuteNoneQuery("UPDATE `UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

修改为

$msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

五、 /plus/search.php文件,搜索(大概在70行左右)

$keyword = addslashes(cn_substr($keyword,30));

修改为

$typeid = intval($typeid); $keyword = addslashes(cn_substr($keyword,30));

其实,如果有些文件你网站用不到,不如直接删除来得简单,文件都没了,漏洞在哪?哈哈!

weixin_39796238
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xycms add_book.php sql注入漏洞1
08-03
漏洞简介:XYCMS原名为南京XYCMS企业建站系统,所设计的版本分为动态版和静态版。这里发现 reply_content 里面的参数没有进行任何过滤,直接po
super-simple-vulnerable-guestbook:超级简单的漏洞留言簿
06-03
4. **修复漏洞**:在理解了漏洞原理后,可以尝试编写修复代码,例如使用预编译的SQL语句、转义用户输入、过滤特殊字符等方法,提高应用安全性。 5. **安全实践**:结合这个项目,学习并实践最佳安全实践,例如使用...
织梦DedeCms的安全问题解决办法(安全设置)
林中明月间丶
06-21 325
https://www.xiuzhanwang.com/dedecms_aq/762.html 废话不多说,下面整理一些比较常用的处理方案: 第一步: 安装织梦CMS后,记得一定要删除install 文件夹。 第二步: 后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。 扩展阅读:修改织梦默认管理员admin教程 第三步: 将dedecms后台管理默认目录名dede改掉,随便改
织梦guestbook.php漏洞,织梦dedecms漏洞大全 | 志博日记
weixin_42512249的博客
03-12 830
1.dedecms文件任意上传漏洞漏洞一文件位置:/dede/media_add.php找到64行$filename = $savePath."/".$filename;改成$filename = $savePath."/".$filename; if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA...
DedeCms织梦系统漏洞复现
最新发布
LIU6636LIU的博客
03-13 1789
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站,CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
DedeCMS_v5.7漏洞复现
热门推荐
qq_51459600的博客
04-06 1万+
DedeCMS_v5.7漏洞复现 环境搭建: 服务器:WinServer2008(10.10.10.143) + phpstudy2018 DedeCMS版本:DedeCMS-V5.7-UTF8-SP2 下载地址:https://pan.baidu.com/s/1GQjWSDe7IlMVsVJ7HvrBOw 提取码: i4wk 0x01 URL重定向 版本<=5.7sp2 漏洞复现 payload: http://10.10.10.143/Dedecms/plus/download.php?open
Ex-guestbook.rar_Ex-guestbook.rar_GuestBook
09-14
《基于PHPGuestBook应用详解》 在互联网的早期,GuestBook(访客簿)是一种常见的网站互动形式,它允许访问者留下他们的留言和联系方式。本文将深入探讨一个名为"Ex-guestbook.rar"的PHP GuestBook应用程序,帮助...
php+mysql+毕业设计源代码】Bunuo Guestbook guestbook.rar
01-10
后台框架代码:java/c/c++/php/VB/lun/Andorid/Python 开发环境:idea 数据库:MySql(建议用 5.7,8.0 有时候会有坑) 部署环境:Tomcat(建议用 7.x 或者 8.x b版本),maven Spring root vue.js
wLHK-Dedecms漏洞整理.pdf
09-20
从给定的文件信息中,我们可以看到该文件是关于Dedecms漏洞的整理报告,包了多个漏洞的详情,包括SQL注入漏洞、XSS漏洞等。下面我们将对这些漏洞进行详细的分析和解释。 首先,我们来看第一个漏洞,即Dedecms /...
php-guestbook:PHP的来宾
03-28
...本教程将深入探讨如何使用...通过这个项目,你可以掌握PHP与数据库交互、表单处理和数据展示的核心技术。进一步学习可以涉及错误处理、用户认证、模板引擎以及更复杂的数据库查询,以提升应用程序的功能和用户体验。
微软暴最大漏洞,修补工具下载
01-14
修补GDI图片漏洞的工具,该漏洞的出现可以让所有以任何形式看过木马图片的用户感染木马,并最终受到黑客的攻击。
dede常见漏洞以及解决方法
weixin_33728268的博客
11-16 831
dede漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,防止网站被攻击。 1.dede dialog目录下的配置文件漏洞 如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处 在include/dialog下的config.php第35行 1 2 ...
dedecms5.7最新sql注射漏洞利用 guestbook.php
收集盒 Book box
11-13 4499
影响版本为5.7 漏洞文件edit.inc.php具体代码: < ?php if(!defined('DEDEINC')) exit('Request Error!'); if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS']; else $GUEST
织梦guestbook.php漏洞,织梦DEDECMS任意文件上传漏洞注入漏洞修复方法
weixin_29686935的博客
03-12 712
修复任意文件上传漏洞注入漏洞任意文件上传漏洞修复一个文件/include/dialog/select_soft_post.php;SQL注入漏洞5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php修复方法都是...
dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?
qq_31763129的博客
04-26 1607
打开 \plus\guestbook\edit.inc.php,搜索else if($job=='editok') 并修改为以下代码:else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */    if($remsg!='') { //管理员回复不过滤HTML        if($g_isadmin) { $msg =...
织梦dedecms漏洞修复大全(5.7起)
weixin_30472035的博客
12-30 785
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,...
dedecms注入漏洞 search.php,Dedecms最新注入漏洞分析及修复方法
weixin_35733151的博客
03-18 523
最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现。原因是此漏洞的利用需要一定的前提条件,而原分析文章当中并没有交代这些,所以这里将我的分析过程以及一些触发的必要条件总结了一下。一. 漏洞跟踪发布时间:2013年6月7日漏洞描述:DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。基于PHP+...
织梦dedecms漏洞修复
06-26 1487
自己用dedecms在阿里云上搭建了套网站,之后阿里云漏洞提示,织梦有多个漏洞需要我修复,发我邮箱,今天整理了下,我遇到的漏洞,及我修复的过程。漏洞描述:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。解决办法:打开根目录下/member/soft_add.php(在15...
destoon数据库结构.pdf
07-14
destoon数据库结构.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值