本文作者:红日安全团队——Mochazz 早上看了先知论坛的这篇文章:解决DEDECMS历史难题–找后台目录 不得不说作者思路确实巧妙,作者巧妙的利用了Windows FindFirstFile和织梦程序代码中对上传图片的逻辑判断,成功在Windows环境下爆破出后台目录.可能一些人不了解Windows FindFirstFile,其实就是Windows在搜索文件时,使用到的一个winapi 函数,有时候我们找不到自己上传的马时,也可以利用它,请阅读下面一段解释: 目前大多数程序都会对上传的文件…

参考文章 https://xianzhi.aliyun.com/forum/topic/2064 近期,学习的先知社区<解决DEDECMS历史难题--找后台目录>的内容,记录一下. 利用限制 仅针对windows系统 DedeCMS目前下载的最新版的还存在此问题.(DedeCMS-V5.7-UTF8-SP2.tar.gz)在网盘里找相应名字的就行 漏洞成因 首先看核心文件include/common.inc.php 大概148行左右,这一块是对上传文件的安全处理. //转换上传的文件相关的变量…

1.进入后台后,点击 系统->系统基本参数->添加变量: 变量名称:cfg_safecheck_switch 变量值:N 变量类型:布尔(Y/N) 参数说明:启用安全监测系统: 2.找到系统后台目录(默认为dede)打开目录下的templets/index_body.htm文件 修改该文件18-35行修改为 <script type="text/javascript"> var safecheck_switch = "<?php echo $cf…

dedecms为后台自定义菜单的完整方法 品味人生 dedeCMS 围观7330次 18 条评论 编辑日期:2014-06-14 字体:大 中 小   最近在给客户定制一个企业网站,客户要求使用dedecms作为管理后台. 由于客户提出了许多定制功能,因此会用到dedecms较多的内置功能来实现. 可是dedemcs的功能都相对分散,如果交付到用户手中,难免会使用户难以学习与使用. 因此,这里就需要我们在后台为客户定制一个快捷类型的菜单,将分散在各个模块中的功能整理到一起,使用户能够易学易用.…

dedecms在后台替换文章标题.内容.摘要.关键字所在的字段为: 后台替换文章内容 数据表:dede_addonarticle 字段:body 后台替换文章摘要内容 数据表:dede_archives 字段:description 后台替换文章标题内容 数据表:dede_archives 字段:title 后台替换文章关键词: 数据表:dede_archives 字段: keywords…

今天研究了在Laravel框架中的控制器中加入后台的目录.发现了一些小的规律,拿来和大家分享一下吧. 通常情况下,我们是直接在controllers目录中加入我们的控制器,然后再routes.php 路由表中寻找对应的控制器和action进行处理.可是如今有个问题,假设我们的前台和后台同在一个项目中,也就是说前台和后台的控制器会在一块.当然不是没有办法进行区分.我们能够在控制器前面加上Front,Admin等标记来分别前台控制器和后台控制. 这里我给大家提供一种方法来将前后台的控制器进行分离.…

那么有什么办法解决呢? 那么现在就给大家解决织梦去掉后台登陆验证码.   这里面分两种版本 一个是织梦5.6的程序 那么织梦5.6程序的解决办法是: 在织梦DedeCms5.6版本可以通过下面路径对验证码进行设置,进入后台:系统 -> 系统设置 -> 验证安全设置.   另一种版本是:织梦5.5以前的版本,这种解决方法是:   1.编辑打开根目录下的dede\login.php文件,dede是后台目录,如果你重命名了后台目录,就进入你改名后的目录编辑打开login.php文件.   2.查找…

docker常用命令,及进入Tomcat的WebApps发布目录(就是进入docker容器后台目录)   一.常用命令 1.显示所有的容器,包括未运行的 docker ps -a   2.启动容器.注意已经运行过的服务器叫容器.docker images查出来的叫镜像.不是一个东西 docker start id 注意.id:是你想要启动或者停止的容器的id.不是镜像的id   3.停止容器 docker stop id 4.删除容器.必须停止才能删除 docker rm id   5.停止所有…

一.目录权限根据统计,绝大部分网站的攻击都在根目录开始的,因此,栏目目录不能设置在根目录.DEDECMS部署完成后,重点目录设置如下:1)将install删除.2) data.templets.uploads.a或html目录, 设置可读写,取消执行的权限(Windows如何设置目录的权限?):当然对于data文件夹还有更好的解决办法,那就是将data移出站点的根目录.3) 如果网站下不需要专题的,必须删除 special 目录.如果需要的话,有网友是这样建议的:生成HTML后,备份specia…

DedeCms已经升级到5.7版本了..可惜附件的目录还是不统一,比如我们从后台把附件目录调整为Ym(默认为Ymd)然而我们的附件路径依然是不一样的比如:Ymd代表年月日从文章里上传路径为:/Ym/1.jpg从附件里上传呢路径为:/Ymd/1.jpg(还是系统默认的)采集来的呢?路径为:/cYmd/1.jpg(也是系统默认)首先,咱们来修复附件上传要修改的文件为/dede/media_add.php找到$dpath = MyDate("ymd", $uptime);修改为$dpath…