dedecmsV5.7 任意文件上传漏洞修复
2023-09-14 09:01:10 时间
问题文件:在/include/dialog/select_soft_post.php文件
解决方法:
先找到这个文件/include/dialog/select_soft_post.php,找到大概72,73行的
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
在这行代码之前增加:
//任意文件上传漏洞修复----start-----
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){
ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit();
}
//任意文件上传漏洞修复-----end-----
然后保存上传服务器就OK了!
相关文章
- 代码审计-MetInfo CMS任意文件读取漏洞
- 代码审计-phpcms9.6.2任意文件下载漏洞
- 【技巧总结】Penetration Test Engineer[4]-Web-Security(文件处理、会话管理、访问控制、SSRF、反序列化漏洞)
- dedecmsV5.7 任意文件上传漏洞修复
- 文件上传漏洞详解
- 文件下载漏洞详解
- 文件包含漏洞相关协议详解
- CVE-2017-12615 Tomcat任意文件上传漏洞详解
- 文件上传之中间件解析漏洞详解
- 文件上传漏洞简介
- WEB漏洞攻防 - 文件上传漏洞 - CTF比赛类应用场景 - [GXYCTF2019]BabyUpload
- WEB漏洞攻防 - 文件上传漏洞 - 中间件类应用场景 - [VULHUB 靶机]Weblogic任意文件上传漏洞[CVE-2018-2894]
- WEB漏洞攻防 - 文件上传漏洞 - CMS类应用场景 - [见文章头]任意文件上传漏洞
- WEB漏洞攻防 - 文件上传漏洞 - CTF - [极客大挑战 2019]Upload-1
- WEB漏洞攻防 - 文件上传漏洞 - 黑名单验证 [验证文件后缀名]
- 文件上传漏洞及常见的利用方式
- 文件上传漏洞的修复
- Web安全-之文件上传漏洞场景
- 本地文件包含漏洞利用姿势
- docker部署OpenVAS开源漏洞扫描系统——筑梦之路
- vulhub Nginx文件解析漏洞复现——利用文件上传漏洞上传恶意后门
- 致远OA文件上传漏洞——可以上传webshell
- 无文件攻击——漏洞型攻击、灰色工具、潜伏型攻击
- 文件上传漏洞的修复
- 最小化微服务漏洞 Secret存储敏感数据