在本文中,我们将详细介绍DedeCMS织梦后台文件任意上传漏洞media_add.php的修改办法的各个方面,并为您提供关于织梦怎样实现文件上传的相关解答,同时,我们也将为您带来关于DedeCMS的有
在本文中,我们将详细介绍DedeCMS织梦后台文件任意上传漏洞media_add.php的修改办法的各个方面,并为您提供关于织梦怎样实现文件上传的相关解答,同时,我们也将为您带来关于DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞、dedecmsV5.7 任意文件上传漏洞修复、DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法、DEDECMS全站RSS只生成一个文件的修改办法的有用知识。
本文目录一览:- DedeCMS织梦后台文件任意上传漏洞media_add.php的修改办法(织梦怎样实现文件上传)
- DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
- dedecmsV5.7 任意文件上传漏洞修复
- DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法
- DEDECMS全站RSS只生成一个文件的修改办法
DedeCMS织梦后台文件任意上传漏洞media_add.php的修改办法(织梦怎样实现文件上传)
网站迁移到阿里云之后,一直提示有一个漏洞,如下:
漏洞名称:dedecms后台文件任意上传漏洞
补丁文件:media_add.php
漏洞描述:dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。
修改这个漏洞也是很简单,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。
解决办法:
1、打开dede/media_add.php文件,找到第69行或者搜索代码:
$fullfilename = $cfg_basedir.$filename;
修改为:
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
修改文件前请做好文件备份,将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。
本文章网址:http://www.ppssdd.com/code/10053.html。转载请保留出处,谢谢合作!
DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
漏洞
DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
简介
dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.
文件
/dede/file_class.php
修复
打开 /dede/file_class.php 找到大概在161行
else if(preg_match("/\.(".$fileexp.")/i",$filename))复制
改成
else if(substr($filename, -strlen($fileexp))===$fileexp)复制
dedecmsV5.7 任意文件上传漏洞修复
问题文件:在/include/dialog/select_soft_post.php文件
解决方法:
先找到这个文件/include/dialog/select_soft_post.php,找到大概72,73行的
$fullfilename = $cfg_basedir.$activepath.''/''.$filename;在这行代码之前增加:
//任意文件上传漏洞修复----start-----
if (preg_match(''#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i'', trim($filename))){
ShowMsg("你指定的文件名被系统禁止!",''javascript:;''); exit();
}
//任意文件上传漏洞修复-----end-----然后保存上传服务器就OK了!
DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法
网站迁移到阿里云之后,一直提示有一个漏洞,如下:
漏洞名称:Dedecms 上传漏洞
漏洞文件:include/uploadsafe.inc.PHP
漏洞描述:Dedecms过滤逻辑不严导致上传漏洞。
在网上百度了一下,找一个比较好的方法,把这个漏洞问题解决了,主要修改uploadsafe.inc.PHP文件的两处。
解决方法:
1、打开include/uploadsafe.inc.PHP文件,找到第8行或者搜索代码:
$cfg_not_allowall = "PHP|pl|cgi|asp|aspx|jsp|PHP3|shtm|shtml";
修改为:
$image_dd = @getimagesize($$_key);
在其下面添加:
if($image_dd == false){ continue; }
修改文件前请做好文件备份,将新的uploadsafe.inc.PHP文件上传替换阿里云服务器上再验证此漏洞即可解决此问题。
阿里云还是比较靠谱的,每天都会扫描我们网站的漏洞并给出反馈,解决这些漏洞,对网站也是很安全的。
DEDECMS全站RSS只生成一个文件的修改办法
找到位于dede(同你的后台文件夹)文件夹下的makehtml_rss_action.php文件
然后找到 echo "完成所有文件更新!";
在下面添加 echo "<a href='/rss.xml' target='_blank'>浏览...</a>"; 这里是让你在生成成功后点击查看生成结果的
找到位于 include文件夹下的arc.rssview.class.php文件
然后找到 $murl = $GLOBALS['cfg_cmspath']."/data/rss/".$this->TypeID.".xml";
修改成 $murl = $GLOBALS['cfg_cmspath']."/rss.xml"; 这里是修改路径让生成的rss.xml文件保存在根目录
向下找到$orwhere .= "And (arc.typeid in (".GetSonIds($this->TypeID,$this->TypeFields['channeltype']).") )"; 删除整句
然后找到位于dede找到位于dede(同你的后台文件夹)下的templets文件夹打开里面的makehtml_rss.htm文件
然后找到<input name="maxrecord" type="text" id="maxrecord" value="50" size="8">
修改数字50为你需要生成的条数也可以在后台生成的时候输入
如果你生成的rss.xml文件有错误
请打开根目录下面的templets文件夹下面的plus文件夹里面的rss.htm文件
然后找到<description><![CDATA[[field:description function='html2text(@me)'/]]]></description>
修改成<description><![CDATA[[field:description/]]]></description>
本文章网址:http://www.ppssdd.com/code/3866.html。转载请保留出处,谢谢合作!我们今天的关于DedeCMS织梦后台文件任意上传漏洞media_add.php的修改办法和织梦怎样实现文件上传的分享已经告一段落,感谢您的关注,如果您想了解更多关于DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞、dedecmsV5.7 任意文件上传漏洞修复、DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法、DEDECMS全站RSS只生成一个文件的修改办法的相关信息,请在本站查询。
本文标签:
