织梦内容页如何调用当前页面url?相信很多对织梦感兴趣的朋友都会去考虑这个问题:在文章内容中加入本文链接,除了 保护自己版权外还可以增加网站的外链收录。网上这方面的帖子一搜一大堆,但多数都只能调用相对地址,你还必须在它前面加上一个网站域名,这样做的方法虽然 也行,但这个模板用来建其他站时就会闹笑话,所以也是不可行的。
一般我们会使用织梦DedeCMS程序搭建内容类型的网站,而且有些内容单篇文章是比较长的。于是我们是不是看到有些网站在教程的内容篇幅中下面添加有【阅读更多】或者类似【阅读全文】的功能。那这个方法是如何实现的呢?这里如果我们也有需要将DEDECMS织梦程序实现文章内容页添加阅读更多功能的话可以效仿下面的办法进行页面处理。
作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日, 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
在使用dedecms模板的过程中经常会用到一些默认dedecms没有的字段,或者要自己添加自定义内容模型,后台是添加好了,文章也录入了,可(字段无法显示)前台调用不出来怎么办呢?要想实现如下效果:
云开发静态托管是云开发提供的静态网站托管的能力,静态资源(HTML、CSS、JavaScript、字体等)的分发由腾讯云对象存储 COS 和拥有多个边缘网点的腾讯云 CDN 提供支持
1. 默认模板设置 里面是default后面变量名字是cfg_df_style(在模版中使用方法是{dede:golbal.cfg_df_style/}获取的路径是templets/设定的文件夹名字,不过实际页面上调用的时候大部分都是使用的{dede:global.cfg_templets_skin/}) 例子:把参数值设置成html(注意路径一定要在templets文件夹下,区分开系统默认的模板) html里面有你要用的css在html/style/css/css.css,这样你在模板里面使用css就
既然已经完成织梦DEDECMS仿站中首页和列表页的标签调用整理之后,我们还需要整理内容页面的整理即可。内容页面稍微简单一些,只要标题头部调用,以及当篇文章的内容和相关信息。因为是公司类别的内容,所以不会涉及到留言的模块,这里我也不使用留言功能。
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题
2.检查selinux是否已关闭,防火墙的80端口是否已打开,或者是否清空了防火墙规则:
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历了二年多的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统。织梦内容管理系统(DedeCms)基于PHP+MySQL的技术架构,完全开源加上强大稳定的技术架构,使你无论是目前打算做个小型网站,还是想让网站在不断壮大后系仍能得到随意扩充都有充分的保证。
用dedecms织梦系统建站的童鞋,在遇见很喜欢的网站的时候总想知道人家的网站是用什么做的,怎么知道网站是不是dedecms建的呢??
感觉自己代码审计的能力不太行,于是下载了一个cms来锻炼下自己的代码审计功底,这篇文章记录一下这个dedecms代码执行的漏洞
综述 2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。 攻击难度:低。 危害程度:高。 官方修复情况如下:目前暂未发布升级补丁 ---- 什么是DedeCMS 织梦内容管理系统(DeDeCMS) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步。广泛应用于
有时我们需要用到dedecms提供的自定义内容模型功能去添加自定义内容模型来满足需求,那么dedecms自定义内同模型怎么添加采集规则呢?打开“/dede/templets/co_add_step
在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现。
最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/
我们有些时候在设计和调用DEDECMS栏目的时候,需要在子栏目中获取顶级栏目的名称。这样应该如何调用设置呢?这里老蒋找到几个有效的办法,如果有需要的话可以参考使用。
-----------------------------------------------------------------------------------------
这两天我们是不是看到有关于熟悉的DEDECMS织梦程序有发布通告,告知从10月25日24时之前,如果个人或者企业有在使用DEDECMS织梦程序的,且有在用商业用途的,必须要进行购买商业授权才可以使用,否则就可能遭受法律诉讼。一时间,我们站长圈内各种讨论,有的同学给客户做的企业网站几百个都是用的DEDECMS程序,这下有些犯难,如果一个授权5800元,那100个就是58万。这个成本还是相当高的,有些朋友接单的企业网站都没有5800元。
之前因为ytkah批量添加了dedecms文章,数量有些多,后面出现问题了,想要删除一部分织梦文章,后台一篇篇删,删到手软(相关内容:修改dedecms关键词到手软),于是就想到了sql数据库操作
用dedecms建站都知道有一个文章点击量这个参数,我们可不可以用这个浏览量做些延伸扩展呢?比如加上一个固定值变成另外一个指标。很多朋友已经想到了,如下图,我们将本文浏览量286设为点击量,加上3
dedecms2013年6月7日补丁或者新版本dedecms程序,去掉power by dedecms的方法
很多站长在使用DedeCMS搭建网站的时候,都希望能够在文章内容页底部调用几篇与本篇文章相关的文章,这样不但可以去除DEDECMS默认模版原有的生硬,增加美观度,而且对SEO优化和提升网站PV也有很大的帮助,织梦文章内容页默认模板缺少相关文章,对用户及搜索引擎查找及判断文章主题不利,那么,如何实现在DEDECMS织梦模板调用全站相关文章呢?
我们在建站时经常会在文末加一个本文地址,那么dedecms文章页如何调用当前文章URL呢?这样做的好处是增加文章的唯一标识,更进一步的做法是在head中加个cannacial标签,告诉搜索引擎ur
织梦CMS近期的新版本至2013-6-7更新包以来,不管新版还是旧版更新补丁包,更新后网站页底都会出现power by dedecms。power by dedecms什么意思呢,那power by dedecms怎么去掉呢,请大家看以下方法:
我们在用DEDECMS织梦程序做网站的时候,有些页面中特定位置希望专门的调用指定分类栏目,于是我们如何处理呢?这里,老蒋想到的是用dede:type这个标签实现调用,实现方法如下。
DedeCMS v5.7 SP2后台允许编辑模板页面,通过测试发现攻击者在登陆后台的前提条件下可以通过在模板中插入恶意的具备dedecms模板格式且带有runphp="yes"标签的代码实现模板注入,并且可由此实现RCE与Getshell
都2022了,一个企业如果没有网站就有点low了呀,国内的中小型企业居多,在推广上投入的资金也是有限的,很多中小企业就做个网站,基本不去推广,跑题了,我们今天讨论的是企业站用哪种cms比较好;
我们在设计DEDECMS织梦主题的时候肯定会在页面中调用上一篇和下一篇文章,这样可以提高内页内容的融合,提高网站之间的串联传递权重。那一般调用上一篇和下一篇的代码是什么呢?因为老蒋已经很久没有做DEDECMS主题,代码也忘记,所以记录下来以后需要直接获取。
织梦程序依托MySQL数据库、PHP开发环境、服务器(Apache或Nginx),初学期间安装这些环境对初学者是极其困难,因此,我们可以借助集成开发环境,也就是通过一个软件完成以上所有环境的配置。 基于Linux操作系统、PHP开发环境、MySQL数据库、Apache服务器的集成开发环境软件还是有很多的,DeDeCMS官方提供了DeDeApZ、还有Apmserver、PHPStudy等软件。
0×00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管理员后台密码。 先来看看整体利用流程: 重置admin前台密码—>用admin登录前台—>重置admin前后台密码 0×01 前台任意用户密码重置分析 组合拳第一式:重置管理员前台密码 漏洞文件:member\resetpassword.php:75 else if(
一位美女问:dedecms首页调用的简介一直修改不了,ytkah让她到具体的文章修改,然后再重新生成一下首页。她说还是不行。那就奇了怪了,点击到具体的文章页面是显示已经修改好了,为什么首页还是原来的呢?到后台重新生成了一下js文件貌似也不行。
我们继续来说一下dedecms最新的几个漏洞,今天是一个前台任意用户登录的漏洞,该漏洞结合上一次提到的前台任意密码修改漏洞可以直接修改管理员的密码,剩下的就是找后台了,废话不多说,我们开始吧
平时用dedecms开发经常会用到一些标签,特别是首页、栏目页、内容页,这些页面都会用到标签的调用,比如title、keywords、description、arclist、field.body等,为了方便查找,ytkah特地整理了dedecms标签,大家可以用ctrl+F实现搜索。调用标签时一定要保证标签的完整性,曾经因为{dede:field.description /}少了一个“/”查了大半天,泪的教训。 dedecms首页标签 网站名称:{dede:global.cfg_webname/} 网站
昨天下午的时候有网友留言是否熟悉DEDECMS织梦程序,需要解决TAGS静态问题,虽然老蒋之前对于DEDECMS主题大概的情况还是熟悉的,只要有动力肯定是没有问题。看到实际的情况是这样子的,他这个源码
本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS 同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。
现在建网站,90%都会采用cms建站系统、可是优秀的建站系统那么多,像国外的JOOMLA、WORDPRESS,国产的PageAdmin、织梦DEDECMS、JTBC、DISCUZ等;网上也有一大堆测评资讯,有说这个好,有说那个差,究竟选哪个?很多小白会很纠结。
根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key。
做贼心虚——当看到网站页面中出现power by dedecms,哥的心里总感觉虚得慌。为何在使用dedecms时,自己并不想让别人知道该网站是用dedecms做的呢?是为了网站安全考虑不透露信息,还是不想让人知道你用的仅是开源系统,low逼了一地!
本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现,因为代码审计较弱,代码这一块的分析借鉴了一些大佬们的思想,在这里对大佬们表示衷心的感谢。
进入DedeCms后台 -> 系统 -> 数据库备份/还原 备份文件在\data\backupdata
dedecms批量修改文章为待审核稿件要怎么操作呢?因为我们有时会出于某些原因要把文章暂时先隐藏掉,dedecms有一个比较好的功能是将文件状态设为未审核前台就可以看不到了,那要怎么批量设置呢?到后台 系统 - SQL命令行工具,输入如下命令,切记操作前一定要先备份数据库 update dede_archives set arcrank=-1; update dede_arctiny set arcrank=-1; update dede_taglist set arcrank=-1; 以上三条执行后文
前面我们探讨了调用{dede:likewords}为dedecms添加相关搜索词,如果要调用含有某一关键词的文章可以实现吗?比如ytkah的网站有很多文章中含有“微信”的词,那么想在网站首页、频道页、文章页等页面调用含有“微信”这个词的一些文章,怎么调用呢?其实只要几行代码就够了 {dede:arclist row='5' titlelen='36' orderby='pubdate' keyword='微信,公众号' typeid='栏目id'} [field:textlink/]
先找到include/common.inc.php文件,把下面代码贴进去(我贴的是我网站上的,具体可根据需要修改):
小李子最近在学习dedecms,在网上下载了一个二次开发的系统,顺利安装后想要还原一下作者的备份数据,可一直没有成功,让ytkah查看一下什么情况。进到后台,点击还原,提示/e/class/fun
我们很多站长朋友选择织梦DedeCMS程序的主要原因在于是可以生成HTML静态文件的,这样在一定程度上是可以减少服务器的负载的。所以我们一般做大数据的内容管理系统比较多,当然还有一个原因就是DEDECMS程序比较简单易用,以及拥有很多免费的主题模板。
领取专属 10元无门槛券
手把手带您无忧上云