如果您对阿里云提示织梦后台文件media_add.php任意上传漏洞解决方案感兴趣,那么本文将是一篇不错的选择,我们将为您详在本文中,您将会了解到关于阿里云提示织梦后台文件media_add.php任
如果您对阿里云提示织梦后台文件media_add.php任意上传漏洞解决方案感兴趣,那么本文将是一篇不错的选择,我们将为您详在本文中,您将会了解到关于阿里云提示织梦后台文件media_add.php任意上传漏洞解决方案的详细内容,我们还将为您解答织梦api接口的相关问题,并且为您提供关于CMS教程:阿里云服务器提示phpcms v9前台注入导致任意文件读取漏洞修复方案、DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞、DedeCMS后台文件任意上传漏洞media_add.php的修改方法、dedecms织梦select_soft_post.php任意文件上传漏洞解决方案的有价值信息。
本文目录一览:- 阿里云提示织梦后台文件media_add.php任意上传漏洞解决方案(织梦api接口)
- CMS教程:阿里云服务器提示phpcms v9前台注入导致任意文件读取漏洞修复方案
- DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
- DedeCMS后台文件任意上传漏洞media_add.php的修改方法
- dedecms织梦select_soft_post.php任意文件上传漏洞解决方案
阿里云提示织梦后台文件media_add.php任意上传漏洞解决方案(织梦api接口)
dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。【注意:该补丁为云盾自研代码修复方法,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方法,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
下面跟大家分享一下这个漏洞的修复办法:
首先找到并打开后台管理dede目录下的media_add.php文件,在里面找到如下代码:
$fullfilename = $cfg_basedir.$filename;
在其上面添加一段如下代码:
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){
ShowMsg("你指定的文件名被系统禁止!",'java script:;');
本文章网址:http://www.ppssdd.com/code/12543.html。转载请保留出处,谢谢合作!
CMS教程:阿里云服务器提示phpcms v9前台注入导致任意文件读取漏洞修复方案
《CMS教程:阿里云服务器提示PHPcms v9前台注入导致任意文件读取漏洞修复方案》要点:
本文介绍了CMS教程:阿里云服务器提示PHPcms v9前台注入导致任意文件读取漏洞修复方案,希望对您有用。如果有疑问,可以联系我们。
漏洞名称:PHPcms前台注入导致任意文件读取漏洞
补丁编号:7773618
补丁文件:/PHPcms/modules/content/down.PHP
补丁来源:云盾自研更新时间:2016-10-01 10:22:15
漏洞描述:PHPcms的/PHPcms/modules/content/down.PHP文件中,对输入参数$_GET['a_k']未进行严格过滤,导致sql注入的发生,黑客可利用该漏洞读取任意文件.【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
解决方法如下:
1.首先找到这个文件/PHPcms/modules/content/down.PHP
2.搜索如下代码(17行):parse_str($a_k);
3.将17行直接替换为如下代码:$a_k = safe_replace($a_k); parse_str($a_k);
4.搜索如下代码(89行):parse_str($a_k);
5.将89行直接替换为如下代码:$a_k = safe_replace($a_k); parse_str($a_k);
6.搜索如下代码(120行):file_down($fileurl,$filename);
7.将120行直接替换为如下代码:$fileurl = str_replace(array('<','>'),'',$fileurl); file_down($fileurl,$filename);
修改完后保存上传更新即可
DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
漏洞
DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
简介
dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.
文件
/dede/file_class.php
修复
打开 /dede/file_class.php 找到大概在161行
else if(preg_match("/\.(".$fileexp.")/i",$filename))复制
改成
else if(substr($filename, -strlen($fileexp))===$fileexp)复制
DedeCMS后台文件任意上传漏洞media_add.php的修改方法
网站迁移到阿里云之后,一直提示有一个漏洞,如下:
漏洞名称:Dedecms后台文件任意上传漏洞
补丁文件:media_add.PHP
漏洞描述:Dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时Dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。
修改这个漏洞也是很简单,主要是文件/dede/media_add.PHP或者/你的后台名字/media_add.PHP的修改。
解决方法:
1、打开dede/media_add.PHP文件,找到第69行或者搜索代码:
$fullfilename = $cfg_basedir.$filename;
修改为:
if (preg_match('#.(PHP|pl|cgi|asp|aspx|jsp|PHP5|PHP4|PHP3|shtm|shtml)[^a-zA-Z0-9]+$#i',trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
修改文件前请做好文件备份,将新的media_add.PHP文件上传替换阿里云服务器上即可解决此问题。
dedecms织梦select_soft_post.php任意文件上传漏洞解决方案
在阿里云服务器后会在阿里云后台提示有一个Dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.PHP文件。
原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下:
我们找到并打开/include/dialog/select_soft_post.PHP文件,在里面找到如下代码:
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
在其上面添加如下代码:
if (preg_match('#\.(PHP|pl|cgi|asp|aspx|jsp|PHP5|PHP4|PHP3|shtm|shtml)[^a-zA-Z0-9]+$#i',trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();
}
添加完成后保存替换原来的文件,然后就可以去阿里云后台验证这个漏洞了。
今天关于阿里云提示织梦后台文件media_add.php任意上传漏洞解决方案和织梦api接口的介绍到此结束,谢谢您的阅读,有关CMS教程:阿里云服务器提示phpcms v9前台注入导致任意文件读取漏洞修复方案、DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞、DedeCMS后台文件任意上传漏洞media_add.php的修改方法、dedecms织梦select_soft_post.php任意文件上传漏洞解决方案等更多相关知识的信息可以在本站进行查询。
本文标签:
![[转帖]Ubuntu 安装 Wine方法(ubuntu如何安装wine)](https://www.gvkun.com/zb_users/cache/thumbs/4c83df0e2303284d68480d1b1378581d-180-120-1.jpg)
