不需要插件实现织梦会员增加签到积分/金币方法,因为很多插件我们大家可能都不了解,有些也可以增加了脚本,所以自己手动添加的比较安全,现在把方法分享给大家。...三、新增系统变量,用来设置签到所得积分的数量变量名称填:cfg_sign_time变量类型:数字参数说明:会员签到积分所属组:会员设置变量值:10点击保存变量即可(变量值10表示签到增加10积分),如下图所示...'/config.php';$uid = $cfg_ml->M_ID;//获取当前登录会员的ID$time = time();//获取当前的时间戳$uid = isset($uid) ?...>五、在数据库中新增一个字段,用来储存会员签到的时间,找到数据库中的dede_member表(dede_是你的表前缀,请自行替换)新增字段:signtime类型为:int长度值:10保存即可。...注意:dede_member是官方默认的数据表,如果你的程序更改了数据表前缀,那么就需要把 dede_ 进行替换执行成功后如下:原文链接:https://www.mimisucai.com/teach/dedecms
0x01 漏洞概述 DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞,远程攻击者可利用该漏洞上传并执行任意...最新的DEDECMS系统存在前台文件上传漏洞,需要管理员打开会员中心,访问链接: http://127.0.0.1/dedecms/member/archives_sg_add.php?...0x02 环境配置 下载完源码包安装之后,进入到后台在【系统】-【系统基本参数】-【会员设置】中开启会员注册,并开启会员权限开通状态,即就是不用审核。 ?...然后关闭邮件审核,文章审核以及会员不用知道管理目录就可以上传图片,需要分别修改如下文件代码,当然有些生产环境下的这些功能是正常的,所以其实并不用修改。 ? ? ?...0x03漏洞利用 注册一个会员账户test123,然后登陆会员中心。 ? 然后点击分类信息-发表文章 ? 点击图片,上传准备好的一句话图片文件。 ?
比如老蒋以前帮朋友搭建的网站居然还是免费给他们的,我自己还要贴主机和域名给他们,肯定不会再买付费的DEDECMS授权的。 于是,我们有不少的朋友在商量转移到其他CMS。这里有群友提到迅睿CMS。...他们有提到迅睿CMS是可以通过单独的转换数据工具迁移DEDECMS的,这里在迁移之前,我还是先看看迅睿CMS到底是免费还是付费的。这里我们从迅睿CMS开源协议看看。...迅睿CMS框架基于MIT开源协议发布,免费且不限制商业使用,是免费开源的产品,允许开发者自由修改前后台界面中的版权信息,包括使用,复制,修改,合并,发表,分发,再授权,或者销售。...3、免费开源产品为什么要收取会员费用呢? 正因为是免费开源的产品,在程序版本研发、售后服务都需要大量的技术人员,公司经营是需要成本的,没有这些薄弱的收入来源就无法维持下去的。...4、免费用户和会员用户有什么区别? 下载的源码是一样的,没有区别,免费也可以商用,免费用户可以向官方每天索要一个付费插件源码;而付费用户可以永久免费使用官方的全部插件和售后服务支持。
有趣的文件上传 后面翻阅dedecms历史漏洞,发现会员中心处存在一个文件上传漏洞。...后面仔细研究了一下,其实也只有管理员权限才能上传,实际利用鸡肋,有管理员权限了不如直接进入后台任意文件上传,不过这个漏洞产生的原因可以学学 漏洞位于会员中心处,需要在dedecms打开会员功能,另外需要使用管理员账号打卡会员中心的页面...功能点位于会员中心找回密码处,dedecms默认是关闭会员中心的,需要在后台开启会员中心,为了方便测试,开放了用户注册 来看下关键代码: member/resetpassword.php 1、加载member...如果未登陆,则跳转到登陆接口,等待用户输入登陆凭证并验证,验证通过后,给当前用户记录cookie信息,用户后续使用cookie正常访问 在dedecms中会员中心模块的入口文件差不多也是这个逻辑,dedecms...直接通过登陆框登陆admin用户是进不了个人主页的,因为dedecms默认禁止admin用户登陆会员中心。
安装完成后会有一些文件,可以说是冗余文件,完全没有作用,反而带来被黑的危险,删除即可,以下目录文件均可删除: 目录 删除原因 /install 安装后的余留文件,没用,整个文件夹删除 /member 会员功能文件...,大数企业站没用,文件夹删除,若需要会员功能的就不能删 /special 专题功能,如果你不需要这个功能,文件夹删除,需要就别删,大部分是不需要的 /tags.php TAG标签,没有此功能可删除 网站后台目录...,易被挂马,删除(用你的FTP管理文件就可以了,别用这个) /dede/mytag_*.php、mytag_tag_*.php 自定义标记管理,易被上传一句话木马 /dede/story_*.php 小说功能...前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除) $litpic =$oldlitpic; 修改为 $litpic =$oldlitpic; if...>/dedecms/loginad.<?php echo $cfg_soft_lang; ?
在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现。 ...第一种dedecms调用相关文章的方法,用默认的likearticle {dede:likearticle row='6' titlelen='40'} [field:title /] {/dede:likearticle} 第二种dedecms调用相关文章的方法,检索出当前会员发布的相关文章...{dede:sql sql="SELECT * FROM dede_archives WHERE writer=~writer~"} [field:id/], {/dede:sql} 第三种dedecms
cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads...\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\DedeCMS-V5.7-UTF8...0x02 漏洞复现 先在会员中心->内容中心->系统模型内容->图集构造如下请求,添加formhtml参数的值为1,litpicname参数的值为要删除的文件路径,以网站根目录为基本目录,构造好后进行请求...Content-Disposition: form-data; name="litpicname" /1.txt -----------------------------223472707522220-- 在会员中心...0x02 漏洞复现 该漏洞需要开启会员功能,然后可以在会员中心的编辑器中绕过上传限制。 POST /include/dialog/select_images_post.php?
ytkah最近用dedecms做会员系统,在做登录页面的时候发现登陆的时候提示本页面禁止返回,把登陆模板换回官方原来的,竟然可以登陆,那么应该是模板出错了,又看了index_do.php这个文件,这个就是登陆的处理文件...>"> dedecms会员登录页面文件在\member\templets\index-notlogin.htm,加入如上代码后就可以登录了,有遇到类似问题的朋友可以参考一下 为了方便可以把登录验证码关闭
影响范围 DedeCMS v5.7 SP2 漏洞危害 任意修改前台用户密码 攻击类型 任意修改前台用户密码 利用条件 1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题...漏洞简介 DedeCMS v5.7 SP2存在任意修改前台用户密码。...漏洞利用 因为这里的模块属于会员模块,包含了member.login.class.php,需要登录才能操作,所以我先注册一个用户,担任攻击者,再注册另外一个用户担任目标: 攻击者:test\2\test...Step2:发送以下请求url获取key值 http://192.168.174.159:88/DedeCms/member/resetpassword.php?...Step3:修改请求页URL(下面的key来自上面的请求结果) http://127.0.0.1/dedecms/member/resetpassword.php?
当中2个用dedecms做的公司网站,公司网站底端被直接挂了很多的隱藏超链接,我也是在检测友链的情况下发觉了有很多的导出来超链接,依据网页源代码才发觉公司网站被侵入了。 ?...二.dedecms网站漏洞 因为dedecms的盛行,用dedecms织梦仿站变成被黑客入侵的总体目标之首,从dedecms5.5到如今的5.7,依旧有一小部分安全漏洞,用dedecms做的公司网站要留意以下几个方面..., 2.全部删除install安装文件 3.假如无需应用会员还可以立即全部删除member文件目录绝大多数黑客入侵dedecms公司网站就是说运用会员文章投稿功能,提交木马文件夹。...三.限制网站文件和文件目录被执行、写入 dedecms程序代码公司网站还可以做下列设定 1.下列文件目录:data、templets、uploads、a设定可读写不可以执行权限。
0x00 漏洞背景 2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码...并且要开启会员功能,这个功能在默认情况下是不开启,需要管理员手动开启。 经过360CERT判断,该漏洞危害小,影响面有限。但还是推荐使用DedeCMS的用户进行相关验证,并执行修复建议。...如果要开启会员功能,需要访问到sys_info.php, 但这个文件最终会调用到dede_random_bytes, 其中有个一个关于MCRYPT_DEV_URANDOM的检测。... $imgfile_name)) 0x03 时间线 2018-12-11 CVE中文申请站进行细节公开 2018-12-21 360CERT发布预警 0x04 参考链接 CVE-2018-20129:DedeCMS
今年有一部很火的剧:《长安十二时辰》,改编自“亲王”马伯庸的小说,易烊千玺、雷佳音参演。这部剧到底怎么样?我们用Python来尝试分析一下。 小说: 先从小说开始,小说原著中没有李必,而是李泌。...原著小说中自巳正开始到次日巳初结束:9:40开始到次日9:39结束,一天之内发生的事情。 ? 未时两个男主都没怎么出场,作者可能在憋大招(做铺垫),申时就迎来了爆发。...张小敬酉时的起伏据说好像是因为他入狱了,我没看过这个小说不好分析。 小说词云: 主角就是主角,远超其他。 ? 电视剧: 电视剧是优酷独播,所以选择的弹幕评论都是出自优酷。...下图为小说中人物出场频率排名: ? 其中龙波当属最大黑马,出场排名中压根就没上榜,但是在电视剧里人气达到了第三名。而姚汝能就有点惨,本是出场第三,但是人气却掉到了最后一名。...之后每过几天都会迎来一个小高峰,小高峰日期大多为更新时间,也就是在更新的四集/二集中的最后一集 评论迎来小高峰,看来大部分同学是一口气看完更新的剧集之后再发表评论。
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K...,对网站静态目录进行了PHP脚本权限执行限制,对dedecms的覆盖变量漏洞进行了修补,以及上传文件绕过漏洞和dedecms的广告文件js调用漏洞进行了深入的修复过滤了非法内容提交,清除了多个脚本木马文件...,并对网站默认的后台地址进行了更改,以及dedecms注入漏洞获取到管理员的user和password值,对此我们sine安全对dedecms的漏洞修复是全面化的人工代码审计以及修复漏洞代码,因为用dedecms...所以如果想要优化和访问速度快又想网站安全建议大家做下网站全面的安全加固服务. 2.dedecms织梦首页被篡改,网站被黑,被跳转的解决办法建议: 1....没用的插件以及会员系统可以直接关闭或删除。 6. 升级dedecms,织梦系统的版本到最新版本。
dedecms5.7 sp2前台修改任意用户密码 前言 其实这个漏洞出来有一段时间了,不算是一个影响特别大的漏洞,毕竟dede是一个内容管理系统,用户这一块本来就基本没有用。...而且,前台也不能直接登录管理员账户 漏洞利用条件 开启会员模块 攻击者拥有一个正常的会员账号 目标没有设置安全问题 由于dede默认是没有开启会员功能的,也就是我们不能注册用户,所以要复现该漏洞需要自己开启...请大家自行搜索开启 漏洞复现 首先我先注册两个用户吧 攻击者:000001 密码:123 受害者:test 密码:123 由于dedecms注册用户需要审核,我这里是本地搭的,我直接在数据库里更改一下就行了...所以我们直接令safequestion=0.0,0.0可以绕过empty检查,而且由于if判断里面的比较是弱类型比较 0.0 == 0 //true 这样我们就会执行sn函数了,继续追踪一下吧,位于dedecms
虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插件,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。...DedeCMS织梦程序唯独的特点就是安全性问题,早年在使用它的时候经常有被出现安全问题,这个也是很多人可能犹豫是否使用的原因之一。...第一、仅使用核心功能 DedeCMS是一款优秀的内容管理系统,虽然他也有很多的扩展插件。但是老蒋个人建议在没有得到官方安全补丁和新版本出来之前,以及我们也没有能力去升级安全。...那我们就只使用其核心的文章功能,其他的所谓会员功能,扩展功能都禁止或者删除。 第二、管理目录修改 默认我们应该知道/dede就是DedeCMS程序的后台管理入口。...总之,DedeCMS在功能和易用性上确实是不错的,但是安全这个问题也是需要关注的。 本文出处:老蒋部落 » 确保DedeCMS建站程序安全需要做的几件事情 | 欢迎分享
这两天我们是不是看到有关于熟悉的DEDECMS织梦程序有发布通告,告知从10月25日24时之前,如果个人或者企业有在使用DEDECMS织梦程序的,且有在用商业用途的,必须要进行购买商业授权才可以使用,否则就可能遭受法律诉讼...这里老蒋整理几个常规的应对DEDECMS版权纠纷的方法。 第一、更换程序 我们可以通过一些技术手段进行数据迁移,比如将DEDECMS迁移到帝国CMS、PHPCMS、WordPress等等。...因为大部分的企业网站或者个人网站都是用的DEDECMS生成静态页面的功能,我们没有用到他的核心程序后台功能。只有在管理更新的时候才会用到。而且大部分都没有会员交互。...因为我们的前端主题是我们自己开发、购买过来的,这个和DEDECMS确实没有关系。我们只用静态页面而已。...本文出处:老蒋部落 » 关于DEDECMS织梦程序通告需支付商业授权后个人和企业网站应对策略
这篇文章主要为大家详细介绍了织梦Dedecms网站首页标题关键字描述被恶意篡改解决办法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴。...555 可读 可执行 不可写入 uploads/ 644可读写 可写入 不可执行权限 member/、plus/ 755可读 可执行 不可写入权限 3、删除无用的目录及文件 member删除:没有开通会员的站点...dede/soft_add.php、dede/soft_config.php、dede/soft_edit.php 【软件下载类,存在安全隐患】 以dede/story_xxx.php开头的系列文件 【小说功能
经常使用织梦DEDECMS的朋友会发现,每次发不完新文章了之后,还需要手动的生成文章页、栏目页和主页,有时还会忘记去生成,忘了的话发布好的文章就显示不了这就很尴尬了,所以今天品自行教大家织梦DEDECMS...发布文章后马上更新网站主页:是 发表文章后马上更新相关栏目:是 发表文章后马上更新上下篇:是 设置完成以后,我们每次用织梦DEDECMS发布新文章以后就会自动生成内容页、栏目页、上下篇和主页。
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步...,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统。...在代码中找到这个系统所在的文件dedecms/plus/vote.php,看一下它的代码 ? 这里可以看到这里分为了两种投票方式,一种是会员登陆之后投票,一种是游客状态下投票。
前言 本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现,因为代码审计较弱,代码这一块的分析借鉴了一些大佬们的思想,在这里对大佬们表示衷心的感谢。...环境搭建 下载DedeCMS源码放到phpstudy目录下 然后输入127.0.0.1/DedeCMS/uploads/install/index.php进行安装 进入环境检测页面 进行环境配置...$randval); } 跳转链接就是修改密码的链接了 漏洞复现 首先打开后台管理页面开启会员功能 注册一个帐号 信息的话随便填一下即可注册成功 然后进入了个人中心 进入会员中心...任意用户登录 漏洞原理 dedecms的会员模块的身份认证使用的是客户端session,在Cookie中写入用户ID并且附上ID__ckMd5,用做签名。...现在我们来看看,dedecms会员认证系统是怎么实现的:/include/memberlogin.class.php //php5构造函数 function __construct($kptime
领取专属 10元无门槛券
手把手带您无忧上云