织梦dedecms上传漏洞uploadsafe.inc.php修复方法

最新推荐文章于 2024-08-03 14:11:56 发布

zxy840552216

最新推荐文章于 2024-08-03 14:11:56 发布

阅读量202

点赞数

分类专栏：织梦文章标签： php java

原文链接：https://www.huanhuanhuishou.com/

版权

织梦专栏收录该内容

502 篇文章 1 订阅

订阅专栏

dedecms上传漏洞uploadsafe.inc.php，这里直接给出修复漏洞的方法，希望大家可以多学习。

今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法，主要是文件/include/uploadsafe.inc.php。

有2个地方：

1、搜索 ${$_key.’_size’} = @filesize($$_key); }(大概在42,43行左右)

替换成

01 $ {

`02`	`$_key.'_size'`

03 }

`04`	`= @filesize($$_key);`

05 }

`06`	`$imtypes = array("image/pjpeg",` `"image/jpeg",` `"image/gif",` `"image/png",` `"image/xpng",` `"image/wbmp",` `"image/bmp");`

`07`	`if(in_array(strtolower(trim($ {`

`08`	`$_key.'_type'`

09 }

`10`	`)), $imtypes)) {`

`11`	`$image_dd = @getimagesize($$_key);`

`12`	`if($image_dd ==` `false) {`

`13`	`continue;`

14 }

`15`	`if` `(!is_array($image_dd)) {`

`16`	`exit('Upload filetype not allow !');`

17 }

18 }

2、搜索 $image_dd = @getimagesize($$_key);(大概在53行左右)

替换成

`1`	`$image_dd = @getimagesize($$_key);` `if($image_dd ==` `false){` `continue; }`

老规矩大红色地方标记了修改的地方，然后保存，接着备份原文件，比如文件名变为uploadsafe.inc.php.16.08.09.bak。然后上传修改好的文件即可。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zxy840552216

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

织梦dedecms漏洞修复大全(5.7起)

东北狼仙

01-27

1081

很多人说dedecms不好，因为用的人多了，找漏洞的人也多了，那么如果我们能修复的话，这些都不是问题. 好，我们来一个一个修复。修复方法都是下载目录下该文件，然后替换或添加部分代码，保存后上传覆盖(记得先备份)，这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码，或者修改过这几个文件，然后直接修改的部分被替换掉，那之前就白改了，找起来也非常的麻烦。如果你搜索不到，...

织梦php配置文件,织梦dedecms配置文件/include/common.inc.php解读

weixin_34204530的博客

04-01

1009

dedecms中配置文件是/include/common.inc.php，我觉得里面的一些思路还是值得借鉴的，比如定义系统路径定义，防sql注入的处理等。各行代码简单释义如下：//error_reporting(E_ALL);error_reporting(E_ALL || ~E_NOTICE);//防止页面报错define('DEDEINC', ereg_replace("[/\\]{1,}",...

参与评论您还未登录，请先登录后发表或查看评论

织梦DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法

PHP错误汇总

10-08

210

网站迁移到阿里云之后，一直提示有一个漏洞，如下：漏洞名称：dedecms 上传漏洞漏洞文件：include/uploadsafe.inc.php 漏洞描述：dedecms过滤逻辑不严导致上传漏洞。 DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法 (此图片来源于网络，如有侵权，请联系删除! ) 在网上百度了一下，找一个比较好的方法，把这个漏洞问题解决了，主要修改uploadsafe.inc.php文件的两处。 DedeCMS上传漏洞uploadsafe.inc.ph

DedeCms 织梦系统漏洞上传webshell复现四种方法超详细

最新发布

qq_48368964的博客

08-03

521

DedeCMS是织梦团队开发PHP 网站管理系统，它以简单、易用、高效为特色，组建出各种各样各具特色的网站，如地方门户、行业门户、政府及企事业站点等。

dedecms上传漏洞（uploadsafe.inc.php）

L_melody的博客

01-19

853

文件：uploadsafe.inc.php 路径：.../include/uploadsafe.inc.php 解决方案： 1、查找文件位置：/include/uploadsafe.inc.php，大概在42行左右，找到： ${$_key.'_size'} = @filesize($$_key); } 修改为： ${$_key.'_size'} = @filesize($$_k...

织梦DedeCMS uploadsafe.inc.php上传漏洞的解决办法

kakashs

01-19

435

很多将织梦dedecms安装在阿里云的ecs的站长每次都会看到阿里云盾就会通知有一个上传漏洞，引起的文件是/include/uploadsafe.inc.php文件，原因是dedecms原生提供一个"本地变量注册"的模拟实现，原则上允许黑客覆盖任意变量，就会导致被攻击，下面告诉大家解决的办法：我们找到并打开/include/uploadsafe.inc.php文件，在里面找到如下代码： if(...

织梦dedecms search.php注入漏洞exp,DedeCms V57 plus/search.php 文件SQL注射0day漏洞

weixin_42104947的博客

03-10

515

微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.Hackme论坛原创转载请附带原文链接作者: c4rp3nt3r@0x50sec.orgDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.算了不公开了,不能糟蹋0day了.传送门 DedeCmS V57 p...

dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描

07-13

dedecms批量漏洞扫描，大家可以自己试试效果

织梦dedecms建站详细教程.doc

01-12

织梦DEDecms建站详细教程 DEDecms是一款流行的内容管理系统，拥有强大的功能和灵活的架构。本教程旨在指导读者快速搭建一个基于DEDecms的网站，涵盖环境配置、程序安装、系统文件夹讲解等多个方面的内容。 ...

织梦系统seo优化方法.pdf

03-13

织梦系统，全称DedeCms，是中国广泛使用的开源内容管理系统之一，因其强大的功能和易用性而受到众多站长的青睐。对于任何网站来说，搜索引擎优化（SEO）是提升在线可见性和流量的关键策略，而对于织梦CMS的站点来说...

DedeCMS之文件上传漏洞

Loooyoooxooo的博客

12-08

659

1、此版本的DedeCMS后台存在文件上传漏洞，在渗透过程中我们可以通过利用其它漏洞或者暴力破解的方式获取管理员账号和密码，并登录到后台进行此漏洞利用（此实验主要练习文件DedeCMS上传漏洞利用）；6、依次点击 “生成” - “更新主页HTML” - “浏览选择新建的模板”，在"主页位置"输入框中将文件后缀修改为.php，首页模式选择"生成静态"，并点击更新主页HTML。>换成一句话木马<?7、进入生成的链接，成功执行php代码，漏洞测试成功，在进行动态的输出框中，点击"浏览"

dedecms织梦上传漏洞怎么修复

09-05

258

该漏洞在 DedeCMS V5.7 SP2正式版(2018-01-09) 已经修复过，已经你的织梦程序已经是这个版本的话，可以忽略以下修复教程，不放心的可以打开文件对比一下。自行采取了底层/框架统一修复、或者使用了其他的修复方案，可能会导致您虽然已经修复了该漏洞，云盾依然报告存在漏洞，遇到该情况可选择忽略该漏洞提示。打开 /include/uploadsafe.inc.php 找到 40至43行。dedecms过滤逻辑不严导致上传漏洞。dedecms上传漏洞。

漏洞复现-dedecms文件上传（CVE-2019-8933）

qq_58683895的博客

10-27

957

漏洞复现-5.7SP2版本dedecms文件上传—_CVE-2019-8933

dedecms上传漏洞uploadsafe.inc.php 整理

热门推荐

日拱一卒无有尽，功不唐捐终入海

09-06

1万+

自从买了阿里云的ecs 之后每次出现漏洞阿里云盾就会通知，前段时间部署的项目检测出上传漏洞根据网上大神们的博客整理了下，下面这个是可行的 dedecms上传漏洞uploadsafe.inc.php，这里整理了大神们对于这个漏洞的解释 1. 漏洞描述 1. dedecms原生提供一个"本地变量注册"的模拟实现，原则上允许黑客覆盖任意变量 2. dedecms

dedecms 漏洞_源起网——dedecms后台文件任意上传漏洞

weixin_39722917的博客

11-29

224

源起网 - 做专业.全面的网站源码模板下载站！source.aiconvert.cn漏洞dedecms后台文件任意上传漏洞简介dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限。文件/dede/media_add.php修复打开 /dede/media_ad...

织梦CMS ＜=5.7 SP2 file_class.php 任意文件上传漏洞

zxy840552216的博客

06-02

235

漏洞 DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞简介 dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 文件 /dede/file_class.php 修复打开 /dede/file_class.php 找到大概在161行 else if(preg_match("/.(".$fileexp.")/i",$filename)) 改成 else i

【漏洞复现-dedecms-文件上传】vulfocus/dedecms-cve_2019_8933

10-16

3702

【dedecms-文件上传】后缀

织梦CMS上传漏洞修复

caichuoran3785的博客

06-27

683

近段时间老是发现网站title被注入其他信息，应该是被植入***还是什么的，非常困闹，在网站找了一些织梦漏洞的修补方法。任意文件上传漏洞修复一、/include/dialog/select_soft_post.php文件，搜索(大概在72行的样子) $fullfilename = $cfg_basedir.$activepath.'/'.$filename; 修改为 if...

织梦dedeCMS search.php

09-28

织梦dedeCMS的search.php是一个用于搜索功能的页面。然而，根据您提供的引用内容，这些引用看起来是一些恶意攻击的尝试，试图通过检索search.php页面中的特定参数来执行SQL注入攻击。SQL注入是一种常见的网络攻击方式，攻击者试图通过在应用程序的输入字段中插入恶意的SQL代码来绕过验证和执行非授权的操作。为了防止SQL注入攻击，开发者需要对输入参数进行合适的验证和过滤，并使用预处理语句或参数化查询来处理数据库查询。此外，保持应用程序和服务器的安全性也是非常重要的，包括定期更新和修补软件、使用强密码、限制对数据库的访问权限等。