通过分析log日志,可以知道攻击者的IP 攻击时间 和具体操作 本片文章为内网测试,通过分析日志,进行复现攻击流程,同时对网站的后门给予修复建议 通过分析日志可以知道,攻击者使用了扫描工具进行网站扫描,获得了网站后台地址 日志 一． 日志分析: 具体操作:SQL注入 攻击者通过注入漏洞获取到网站后台的用户名及密码 漏洞利用payload: http://IP/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%…

"织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称"DEDE内容管理系统",在国内应用较为广泛.2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞.受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本.至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播.攻击者可利用…

背景描述: 织梦cms采集图片集时, 需要使用织梦cms提供的"网上复制图片"的功能, 好像我这里这个功能一直不可用, 今天下定决心研究了下源代码并进行了适当修改, 将我的修改提供给大家参考 操作步骤: 1. 采用IE浏览器, 发布图集   注:  复制的源网址需要清空 粘贴源代码(如: <img src='http://icon.nipic.com/BannerPic/20170928/home/20170928155702.jpg' />)到上图的第三个框 2. 打开d…

php才是建站的主流,cms这类程序又是用的最多的,占据主流的cms主要就是织梦,帝国,phpcms这三种的,这三个程序都是开源程序.国内用户众多.   一.从美观性来说(以官方默认模版为准   phpcms发布的V9美观性无疑是最好的.界面整洁大方.织梦一直以来都是一个绿色模版,中规中矩,帝国无疑是最难看的了,并且自己必须修改默认模板才能让首页显示数据,不能像织梦和phpsms那样自动调用,这个对于很多新手有点难度.不必过多解释.   二.从运行速度来说   帝国的操作生成速度应该是最快的,架…

现在建网站不需要请程序员从基础的程序开发做起了,有专业的建站工具,CMS是使用最广泛的建站工具.CMS是Content Management System 现在建网站不需要请程序员从基础的程序开发做起了,有专业的建站工具,CMS是使用最广泛的建站工具.CMS是Content Management System的缩写,意为"内容管理系统",建网站用CMS足够了,不论是企业网站.行业网站.还是门户网站,CMS都能满足其要求.用CMS建网站虽然不需要开发程序,但还是需要网站美工的基础,就是必…

问题一:(织梦"栏目管理"的"常规选项"中3个栏目属性分析?) 织梦CMS的栏目属性分成三种, -->最终列表栏目 -->频道封面 -->外部连接 "最终列表栏目" 也就是一般所属的列表页,也就是点击了这个栏目的链接,就看到了文章列表,下面有分页等等 "频道封面" 也就是一般所说的封面页,也就是没有列表的页面,点击了这个栏目链接,就直接看到内容的页面-- "外部链接" 如果点击了这个栏目的…

最近做了一些视频教程传到优酷网站上,但我想引入这些视频教程到我的网站,在发表时我发现织梦CMS自带的编辑器又不直接支持优酷等视频网站的引用.所以为了方便教程的发布,特意在网站搜索到本篇教程,详细讲解如何在织梦CMS系统中加入例如优酷网站的教程,一共分为一下几个步骤来完成: 模型自定义字段的添加 优酷swf地址的添加 优酷引用代码的加入 一.实现方法 我们刚才说到,要实现这个效果,自带的编辑器不支持.那么我们就可以利用织梦(织梦模板)内容模型来进行实现,这里我们以默认的文章模型为基础来进行制作(如…

原文地址:织梦CMS首页调用分类信息栏目及列表方法作者:小武哥 不懂代码,搜索学习一晚上,都是说调用特定栏目分类信息列表的,用这个代码 {dede:arclistsg row='10' titlelen='24' orderby='pubdate' channelid='-8' typeid=XX idlist=''} ·[[field:typelink/]] [field:textlink/] {/dede:arclistsg} 却没有说想在首页将所有分类信息栏目都显示出来的方法. 论坛里共享…

获取百度分享按钮织梦系统插件 点击下载:dedecms 5.* 插件 更新日期:2011.09.05 1.下载百度分享插件的织梦cms版本. 2.使用管理员账号登录您的站点后台管理中心,单击"模块"标签,然后单击右侧的"上传新模块"按钮,单击"文件选择"按钮,按照您的织梦cms的编码,选择您下载的相应编码的xml文件,单击"确定"即可完成安装 3.若安装成功,页面跳转到百度分享插件的信息页,此时您只需点击页面左侧的"…

背景介绍: 火车头采集器对接织梦cms图片集发布时, 对于多张(超过30张)大图片时, 经常会出现图集发布超时的情况.  问题分析: 因为php对于资源的处理有默认的超时时间30秒, 而我尝试了好多方法, 都无法规避php运行30秒超时的这个问题. 所以想了个折中方案.  折中方案: 在采集网上图片时, 判断当前采集了如果已经到了28秒, 那么就不再采集下面的其他图片.  修改php代码: 打开文件dede/inc/inc_archives_functions.php 关注下列代码中begin_…

1.编辑器打开\plus\diy.php2.在40行左右找到此行代码:$dede_fields = empty($dede_fields) ? '' : trim($dede_fields);3.在这一行代码之下,加入代码,复制的话删掉代码中的空行. //增加必填字段判断 if($required!=''){ if(preg_match('/,/', $required)) { $requireds = explode(',',$required); foreach($requireds as…

打开后台目录(/dede)下archives_do.php约430行下添加: /*----------------------------- //复制文档 ------------------------------*/ elseif ($dopost == 'copyArchives') { CheckPurview('sys_ArcBatch'); if (empty($totype)) { require_once(DEDEINC . '/typelink.class.php'); if…

织梦CMS博客风格模板,织梦CMS,博客模板,CMS模板.程序模板. 模板地址:http://www.huiyi8.com/sc/7248.html…

一.织梦CMS被挂马特征汇总 2013织梦CMS被挂马特征汇总.最近很多朋友反应后台多了几个系统管理员用户:service.spider等,而且自己之前的管理员用户登陆时候会提示用户名不存在.还有朋友的织梦CMS网站里出现asdd.90sec.service等PHP格式的非DedeCMS源文件,这些木马文件内容一般为 等等,被挂马后网站根目录下会生成一堆赌博网页等. 二.织梦CMS被挂马清理方法 1.删除增加的管理员service.spider等用户名. 2.删除根目录的asdd.90sec.s…

之前,网上流传了很多在织梦CMS中调用第一张图片的方法,但大体都一样.即删除缩略图字符串,并添加后缀.然而这种方法仅限于jpg图片或其他单独图片类的调用.如果一个站有png.JPG.gif等多种格式.网上流传的方法明显不适合.现在,源码库发布一种适用各种图片类型的代码,从而实现织梦CMS调用内容页第一张图片的方法: 方法1:(即网上流传的方法) 打开 ../ include/ common.func.php  添加如下代码: //取第一张图地址 function firstimg($str_pi…

织梦cms建站现在已经是很普遍的建站方式了,下面小编就分享一个简单的换网站小图标的方法! 一.登录自己网站的后台管理系统.在不修改织梦后台的情况下,默认的url是自己的网站后台dede目录下访问. 二.进入织梦后台管理系统后,点击右侧的模块按钮,在右侧出现的菜单中点击文件管理器然后进入. 三.找到下面favion.ico这个文件(网站小图标文件),点击改名,复制文件名称到粘贴板,然后删除这个文件. 四.把自己桌面上准备好的要当成网站小图标的32*32的图片右键重命名为favion.ico这个文件…

记一次织梦cms渗透测试 0x01 前言 本次测试的整个流程:枚举用户名-针对性暴破-登录后台-后台编辑php文件getshell. 0x02 过程 1.登录功能模块存在用户名枚举缺陷,利用此权限先枚举出用户名 2.登录功能模块无验证码,通过枚举出的用户名暴力破解出相应密码.并登录后台(dedecms v57) 3.开始遇到坑了.文件式管理器上传文件和新增广告等方式都无法getshell(貌似有waf).一有动作,连接就会重置. 4.尝试直接编辑原有文件,将代码写入. (1)写入phpinfo(…

织梦cms会员注册选择性别为保密时,在后台会员中心查看性别为空的修改方法 第一步:找到dede/templets/member_view.htm,在引号中添加保密就ok 再次修改后的结果…

dedecms简介:织梦内容管理系统(DedeCms) 以简单.实用.开源而闻名,是国内知名的PHP开源网站管理系统,也是使用用户较多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统. 1.把它分为单标签和双标签,更利于记忆,当然,属于自己的记忆方式才是最好的.也可划分为全局标签和局部标签,首先介绍单标签: {d…

DedeCms 5.7新版发布,下来上传至服务器安装完毕,点击进入后台登陆界面,怎么多了广告链,而且登陆界面也变了,以前可不带这样的啊.按步骤一步一步来去版权再去广告吧. 一,去处后台登陆页login.php广告链. 1,查看html源文件,找到广告部分代码如下: < div class ="dede-iframe" > < iframe name ="loginad" src ="login.php?dopost=showad"…

原理描述: 在原有织梦后台菜单中增加"清理冗余图片按钮",实现清理冗余图片的功能. 操作步骤: 1. 打开后台dede\sys_sql_query.php代码 在该文件中搜索如下代码: //修复全部表 else if($dopost=="repairAll") {     $dsql->SetQuery("Show Tables");     $dsql->Execute('t');     while($row = $dsql-&g…

http://www.dedejs.com/ 织梦DedeCms 5.7全站去版权去广告方法(含后台) http://429006.com/article/technology/3367.htm 1.去除织梦后台登陆页面广告 登陆后台-模块-文件管理器.路径/dede/templets/login.html打开文件.找到以下代码并删除: <div class="dede-iframe"><iframe name="loginad" src=&quo…

用织梦实现筛选的功能,其实主要就是运用到了织梦的高级搜索功能,然后用ajax去post替换掉本来的结果就可以了. 其实筛选的话,主要有两个问题需要解决,一个是前台的筛选实现,一个是后台根据前台的点击,反馈出相应的结果. 于是在网上搜索了N多的资料了之后,先实现前台的功能,就是你点了之后会有一个筛选的效果出来,当然,也只是一个效果.具体可以参照:jquery仿京东筛选效果.下面就一步一步用织梦来实现这样的功能. 首先我们先在后台自定义模型(自定义模型都不会的同学,可以直接去面壁思过了) 看到参照网…

13年无意中翻看DedeCMS的代码,发现DedeCMS中是有了一个基本MVC框架的,在现有的版本中,主要是应用到了ask.book等模块上. 织梦这个东西,里面很多设计思想是非常优秀的,但整体代码的质量不够高,处处都是重复代码. 在织梦里面,MVC基本上是最简状态,只用来进行代码分工. 从框架的角度来说,他还是多入口模式,因为没有引入整体的路由调度体系,这是一个比较大的问题. 所以自己尝试将其他框架中的一个Router类引入后,借助DedeTemplate类的扩展体系,加入一个url的标签,用…

[复制来于网上]原文地址:http://www.sjyhome.com/dedecms-6.html 改过一次第二次忘记怎么改,还是转一下,下次忘记了翻翻文章就可以知道了.好记忆不如烂笔头 一.原因分析 经常登录后台的站长可能会发现,当访问织梦后台首页的时候,它会检查网站是否有更新补丁.程序目录安全设置等.而很多服务器都禁用了对自身以外的网络访问,因此织梦在检查更新的时候,相当于是在服务器上访问自身之外的网络,并且织梦的程序并没有限制更新检查最大时间,导致浏览器一直处于等待状态.实际上这是织梦自…

背景介绍: 在做织梦冗余图片清理的功能时, 由于冗余图片太多,导致每次清理时都会超时, 后来在网上搜索了各种文章,网上有如下的解决方法: set_time_limit(0) ini_set('max_execution_time',1800);//单位秒     ini_set('max_input_time',1800);//单位秒 但是尝试之后都不起作用. 解决思路: 后来, 偶然发现一段时间后(改时间要小于超时时间)通过echo信息, 达到与客户端进行交互的手段, 可以规避超时(reque…

织梦建站的数据库设计: 1.模型表:根据网站的需求,建立不同的数据模型,如:文章浏览,软件下载,视频观看等等. 2.栏目表:根据网站的需求,建立不同的栏目,每一个栏目选择一个数据模型. 3.内容主表:所有的网站公布信息都有共同的属性,比如该条数据记录的 栏目ID.标题.发布时间,以此建立一个表来存放这些信息,可以让 数据更轻便 4.更多的附加表:每一种数据类型都有不同于其他类型的地方,所以必须分开建表. 关系层: 先根据网站需求建立数据模型表===> 在模型表基础上,根据网站设计建立栏目表===…

一.下载与安装. 首先到织梦官网下载软件,可选择UTF8或GBK不同编码格式,如果电脑没有PHP环境,还要下载dede自带的PHP环境软件. 将软件中的upload文件夹内容复制到WWW文件夹下,然后再localhost下访问upload下的index.php文件即可开始安装. 下载完成后在安装页面会有系统检测,确认所有选项都是 on 后进行安装. 二.创建初始栏目及分类 织梦开始会给出一个简单的首页,不包含任何内容,访问dede/index.php即可访问后台端 账号密码都是admin(后期网…

问题描述:织梦在上传文章的时候,默认的上传文章的时间格式都是年.月.日.小时.分钟.秒的格式,怎么才能实现仅显示年.月.日的格式呢? 解决方法: [field:pubdate function="MyDate('Y-m-d',@me)"/]用这样的形式调用就可 以了,其中"MyDate('Y-m-d',@me)"可以根据自己的需要进行修改:…

在网站首页调用站内新闻是必不可少的,但是有的时候不能根据自己的需要来调用指定的文章,想要调用自己指定的文章还要做一些修改. 在网站中调用指定文章可以使用织梦默认的标签idlist,在调用的时候使用以下代码: {dede:arclist idlist='13' limit='0,1' infolen='60'} <span><a href="[field:arcurl/]" target="_blank">[field:title/]</…