dedecms安全漏洞之/include/common.inc.php漏洞解决办法

最新推荐文章于 2023-03-23 12:31:54 发布
转载 最新推荐文章于 2023-03-23 12:31:54 发布 · 1.5k 阅读 · 0

本文详细解析了DEDECMS5.7、5.6、5.5版本中存在的全局变量覆盖漏洞,该漏洞允许黑客重定义数据库连接并进行越权操作,甚至直接写入webshell后门。文章提供了修改/include/common.inc.php文件的具体修复方案。

1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
描述:

目标存在全局变量覆盖漏洞。

1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。

危害:
1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。

临时解决方案:
在 /include/common.inc.php 中
找到注册变量的代码

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

修改为

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) {
                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
                            exit('Request var not allow!');
                   }
                    ${$_k} = _RunMagicQuotes($_v);
    }
}

原文:https://blog.youkuaiyun.com/qq_31763129/article/details/80091888

织梦php配置文件,织梦dedecms配置文件/include/common.inc.php解读
weixin_34204530的博客
04-01 1125
dedecms中配置文件是/include/common.inc.php,我觉得里面的一些思路还是值得借鉴的,比如定义系统路径定义,防sql注入的处理等。各行代码简单释义如下://error_reporting(E_ALL);error_reporting(E_ALL || ~E_NOTICE);//防止页面报错define('DEDEINC', ereg_replace("[/\\]{1,}",...
织梦dedecms search.php注入漏洞exp,DedeCms V57 plus/search.php 文件SQL注射0day漏洞
weixin_42104947的博客
03-10 635
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.Hackme论坛原创 转载请附带原文链接作者: c4rp3nt3r@0x50sec.orgDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.算了不公开了,不能糟蹋0day了.传送门 DedeCmS V57 p...
dedecms配置文件详解
多交雨
07-12 948
dedecms配置文件详解 这个文件位于 include/common.inc.php. 我在在原有的注释的基础上 做了增加 供大家学习参考 看这个文件目的是:完善自己做站配置文件 只供学习交流。不完善或者错误请指正 转载注明出处 [php] http://ganshisanmei.co.cc/index.html...
[2002] PDOException in Connection.php line 295
bigorange1的博客
03-15 639
[2002] PDOException in Connection.php line 295
织梦怎么批量删除文章中外部内链,如<a href="https://www.1905.com/mdb/film/2228714/" target="_blank" class="key ">
最新发布
05-19
"/include/common.inc.php"); // 获取所有文章记录 $sql = "SELECT id, body FROM dede_addonarticle"; $dsql->SetQuery($sql); $dsql->Execute(); while ($row = $dsql->GetArray()) { // 定义正则模式用于匹配...
DEDECMS网站安全-教您更改data目录名称.doc
12-08
- 找到include目录下的common.inc.php文件并打开,修改第16行代码,将定义的data目录名改为自定义的目录名(例如asdfg)。 - 使用FTP客户端,将网站的data目录改名为自定义的新目录名(如asdfg)。 - 登录网站后台,...
dedecms织梦安全设置漏洞修复大全
sqk210的博客
10-26 1562
  删除member special install 打开plus文件夹除了下面几个文件 其他删除 Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,...
如何让dede支持php7,dedecmsphp7下的使用方法,织梦dedecsm后台一片空白的解决方法...
weixin_35792040的博客
04-14 1148
前几天,一个老客户,最近升级了服务器,phpphp7,把织梦dedecms转移到新服务器后,不能登录后台,让帮忙看一下。我看了下他们的网站,使用的是织梦V57_UTF8_SP1前台页面是可以访问的,是因为他们的dedecms生成了html静态页面。但是输入织梦后台登录网址,出现一片空白,什么都没有。织梦dedecms后台主要原因是dedecms是很多年以前开发的,都是基本php4,5时代的特性,...
织梦dedecms程序安全漏洞include/common.inc.php漏洞解决方法
winkexin的博客
03-23 568
1.受影响版本织梦dedecms 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。2.漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。1.黑客可以通过此漏洞来重定义数据库连接。文章到此为止 请自行完善吧。
Deprecated: __autoload() is deprecated, use spl_autoload_register() instead in /www/wwwroot处理办法
weixin_43471809的博客
05-18 2635
Deprecated: __autoload() is deprecated, use spl_autoload_register() instead in /www/wwwroot/xxxx.cn/include/common.inc.php on line 295 处理办法:降低PHP版本 Deprecated: __autoload() is deprecated, use spl_autoload_register() instead in /www/wwwroot/xxxx.cn/include/
dede common.inc.php on line 285,Dede织梦系统后台升级更新后出现的空白
weixin_39875192的博客
04-14 412
DedeCMS Error: (PHP 5.3 and above) Please set 'request_order' ini value to include C,G and P (recommended: 'CGP') in php.ini,more...(PHP 5.3 and above) Please set 'request_order' ini value to include ...
Php 日志 分析 源码,Discuz!源代码分析系列(1)-./include/common.inc.php
weixin_42306688的博客
03-27 365
本楼文章转自www.discuz.net 作者:郭鑫第一个文件当然是分析./include/common.inc.php这个文件,这个是Discuz的核心中的核心,基本上每次操作都include到了这个文件,下面就分七段来分析这个文件:Section One:复制内容到剪贴板代码://定义PHP一些环境error_reporting(0);set_magic_quotes_runtime(0);/...
common.inc.php源码,inc.common.php解决错误
weixin_39567046的博客
04-04 300
SPECWEB测试过程中,”failed to open stream: No such file or directory in [PATH]inc.common.php”。借鉴(官方常见问题文档)[http://www.spec.org/web2009/docs/supportfaq.html#FAQ_Entry21]排错遇到的错误及排错如下(1)When trying to manually...
common.inc.php 乱码,织梦dedecms网站模板乱码的几种解决方法
weixin_42361764的博客
03-19 417
织梦Dedecms网站安装模板乱码的问题很多站长们都可能会遇到,一个不留神,没有注意到gbk与utf8的编码格式,一安装就乱码了等等;出现模板乱码这种问题大多数是因此dedecms模板编码问题导致的乱码,解决办法我们可以使用一些相关软件打开,然后设置页面编码即可了。一、乱码是因为字符编码不一致造成的,出现的原因有以下几种:1、你模板采用的字符编码与你安装的版本字符编码不一致;比如你安装的是UTF-...
解决织梦 \include\userlogin.class.php on line 21 报错的方法
qqahanson的专栏
02-24 1834
解决织梦 \include\userlogin.class.php on line 21 报错的方法     dede\templets 找到 index_body.htm  文件 把这些注释掉。 $(function() {    $.get("index_testenv.php",function(data)   {     if(data !== '')  
dede后台登陆出现include\\userlogin.class.php on line 21 怎么解决
IT技术宅-北方的刀郎
03-21 2160
后台登陆出现include\userlogin.class.php on line 21 怎么解决2013-03-28 16:59匿名 | 分类:其他编程语言 | 浏览584次后台登陆出现include\userlogin.class.php on line 21 怎么解决论坛没找到相关资料 在线求高手帮忙啊!2013-03-28 17:03网友采纳dede\templets找到 index_bo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值