Webug名称定义为“我们的漏洞”靶场环境,基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于windows操作系统的漏
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞。
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K等等的内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌bo网站上去。
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。
深信服公众号前几天发了Dedecms未授权RCE的漏洞通告。地址是这个: 【漏洞通告】DedeCMS未授权远程命令执行漏洞
最近DedeCMS又被爆出存在文件包含漏洞。据了解,该漏洞影响版本为5.7.106以及之前的版本。影响范围较大,其中,文件uploads/dede/article_allowurl_edit.php存在缺乏对写入内容的安全过滤,导致可以写入任意内容,形成了该漏洞,具体漏洞详情如下:
在这篇博文中,我将分享对 Dedecms(或翻译成英文的“Chasing a Dream”CMS)的技术评论,包括它的攻击面以及它与其他应用程序的不同之处。最后,我将以一个影响v5.8.1 pre-release的预认证远程代码执行漏洞结束。这是一款有趣的软件,因为它的历史可以追溯到其最初发布以来的 14 年多,而 PHP 在这些年来发生了很大的变化。
0.背景分析 当今的互联网站点,各种cms和框架大规模普及,这虽然方便了广大站长,但是这些开源项目的安全性不容乐观,比如前一阵子的strutsII漏洞使各大平台和高校网站被入侵。 如今各大漏洞库的建立为我们提供了丰富的漏洞资源。国内有乌云网,sebug,国际上有CVE和exploit-db。我们可以从这些网站和各大安全论坛获得漏洞资源,编写利用程序。 那么我们既然有如此丰富的资源,为何不编写一款可扩展的集成各种漏洞扫描和利用功能的渗透测试平台呢。 我与很多国内的黑客讨论过,他们表示正在写或者有意向编写一
-----------------------------------------------------------------------------------------
微语:这是一个朋友弄的东西,征求对方同意的情况下排版了下,发了出来,有些许BUG,大牛可以的话,来完善完善。 这是一款线上工具箱,收集整理了一些渗透测试过程中常见的需求。 现在已经包含的功能有: 在线cms识别|旁站|c段|信息泄露|工控|系统|物联网安全|cms漏洞扫描|端口扫描 依赖安装
dedecms即织梦(PHP开源网站内容管理系统)。织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,近日,网友
最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
一、找网站SQL注入点 在测试时后发现有一个信息查询框,就是下面这个图片显示的。一般信息查询框会和数据库存在交互。 我输入数字1,会正常提示木查询到相关信息。 那我们使用1’测试一下,发现不弹未查询到相关信息的提示框,也没有任何数据输出,大致判断这个点存在sql注入,并且不对输出报错信息。 大概猜测出SQL语句为 : select * from A where id ='$_POST['id']'; 没有对用户输入的数据做任何过滤。 构造一个闭合语句再次确认一些是否确认存在sql注入。 paylo
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的!
我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为正确的数据类型,但在这个转换过程中就有可能引发一些安全问题。
信息收集无论是在渗透,AWD还是挖src中,都是重中之重的,就像《孙子兵法》中说到的"知彼知己,胜乃不殆;知天知地,胜乃可全",也就是"知己知彼,百战不殆"
前段时间网站被黑了,从百度打开网站直接被劫持跳转到了cai票,du博网站上去,网站的首页index.html文件也被篡改成一些什么北京sai车,pk10,一些cai票的关键词内容,搞得网站根本无法正常浏览,从百度搜索我们公司网址,直接被百度拦截,提示什么:百度网址安全中心提醒您:该页面可能存在违法信息!截图如下:
本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS 同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。
大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第4篇 代码审计文章:
很多客户的网站被拦截并提示:“该内容被禁止访问”,大多数客户使用的都是阿里云的虚拟主机以及ECS服务器,最近发生这种问题的网站也越来越多,这几天刚解决完一个客户网站被阿里云:违规URL屏蔽访问处理通知并拦截,经过朋友介绍找到我们SINE安全公司。
1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
DedeCMS v5.7 SP2后台允许编辑模板页面,通过测试发现攻击者在登陆后台的前提条件下可以通过在模板中插入恶意的具备dedecms模板格式且带有runphp="yes"标签的代码实现模板注入,并且可由此实现RCE与Getshell
作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日, 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改
提示:系统存在漏洞,端口存在漏洞,flag分为两部分,一部分在web一部分在系统。
大家好,又见面了,我是你们的朋友全栈君。power by dedecms什么意思,power by dedecms怎么去掉
大清早的一上班收到3个网站客户的QQ联系,说是自己公司的网站被跳转到了北京sai车,cai票,du博网站上去了,我们SINE安全公司对3个网站进行了详细的安全检测,发现这3个客户的网站都是同样的症状,网站首页文件index.php,index.html都被篡改添加了恶意的代码。网站在百度的快照也被更改成了这些cai票,bo彩的内容了,并被百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改!如下图所示:
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
如今互联网的下半场已经开始,在各种大资本的充斥下,自媒体占据了主流位置,但是无论哪个时代,cms内容管理系统的作用都不可替代,毕竟网站建设这个行业80%的网站都是采用这些老牌的cms网站系统制作,他们对网站建设这个行业的的地位和影响力仍然举足轻重,相信下面这几家老牌CMS系统都伴随了许多老站长的成长,云数据的小编给大家介绍一下。
国内网站建设市场参差不齐,建站公司多如牛毛,网站价格便宜的几百,贵的几十万,作为外行,很难去选择,国内大部分网站建设公司都是营销公司,完全没有底层技术框架的开发能力,90%以上的网站建设公司都是基于各种cms网站内容管理系统来制作网站,七牛云小编根据最近服务器各种cms的安装量,统计国内用户比较多的几个cms,并分别介绍,希望对从事网站建设的朋友能起到参考作用。
这两天我们是不是看到有关于熟悉的DEDECMS织梦程序有发布通告,告知从10月25日24时之前,如果个人或者企业有在使用DEDECMS织梦程序的,且有在用商业用途的,必须要进行购买商业授权才可以使用,否则就可能遭受法律诉讼。一时间,我们站长圈内各种讨论,有的同学给客户做的企业网站几百个都是用的DEDECMS程序,这下有些犯难,如果一个授权5800元,那100个就是58万。这个成本还是相当高的,有些朋友接单的企业网站都没有5800元。
根据红日安全写的文章,学习PHP代码审计的第四节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一个实例来加深巩固。
在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了............当然这一切的前提,就是要有耐心了!!!由于要写工具较多,SO,我会分两部分写......
现在很多人都想制作一个个人博客,前端html静态页面,免费的很多,但是拿到一个静态页面,自己并不知道怎么用。你可以选择下载免费的博客程序源码,或者cms。这些开源的博客程序源码,都是经过很多次版本测试的,都有固定的使用人群。我所知道的主流的博客程序有,Z-blog,Emlog,WordPress,Typecho等,免费的cms系统有,织梦cms(dedecms),phpcms,帝国cms(EmpireCMS)等。这些都是开源免费的程序,用它们来做一个个人博客网站,是可以的。 很多新手站长不知道该如何选择合适的博客程序源码来搭建自己的个人独立博客,主要原因还是不太了解这些博客程序的特点。这些博客程序都有它的使用教程,如果你有足够的时间,可以选择去学习。 我相信很多站长,都使用过以上的博客程序源码。我先来简单说说,我在使用这些博客程序源码的一个体验感受: 1、Z-Blog。Z-blog博客程序的特点在于它有asp,php两个版本,有可选择性,页面静态化做得比较好,有利于SEO优化。但Z-blog目前提供的不少主题模板和插件是收费的,而且主题不是很多。 2、Emlog。Emlog(点滴记忆),程序大小只有500KB左右。它的特点就是源程序文件非常小。Emlog的基本功能比较简单,对于做一个简单的博客来说足够。不够完美的地方在于,Emlog不能html静态化,支持的是伪静态。 3、WordPress。相比较前两个来说,WordPress的人气应该是最高的,WordPress的博客主题很多,免费的,付费的,更新也快。WordPress程序依托的是插件和主题,作为国际性开源程序,它的功能非常强大。美中不足的地方在于,它的插件多,网站速度加载会比较慢。 4、织梦cms(dedecms)。最新版本V5.7SP2正式版,更新时间:2018年01月09日。dedecms采用PHP+MySQL的技术架构,个人站长用得也比较多,因为它上手快,标签好调用,对于想做资讯网站的站长来说,简单看看教程,也能在短时间学会。dedecms是完全开源的,不足的地方在于,漏洞很多,网站时不时被攻击挂马。 5、PHPCMS。最新版 V9.6.3 ,更新时间:2017年05月15日。使用的MVC模式编程,模块化的设计,非常适合网站的二次开发,从后台的美观度来说,PHPCMS V9的后台界面最为美观,操作也简单。我记得dede和帝国cms还在用table的时候,phpcms开发模板用的是div+css,界面好看布局又合理。就扩展性来说,不是很好,v9之后,就不再更新了。 6、帝国cms。从安全性来说,帝国CMS,PHPCMS的安全性高,没有什么漏洞,帝国cms页面静态化,利于优化,而且扩展性很好,适合做二次开发。但从美观度来说,帝国cms不重视这些,甚至很多都是table布局。之前我写过一篇文章,《个人博客,我为什么要用帝国cms?》,也是在使用了以上这些博客程序源码后写的一个总结,兜兜转转,最后还是使用了帝国cms,作为我的博客程序。 以上这些,仅属于个人观点,每个程序都有它的优缺点,选择什么样的程序源码,看个人的需求和爱好。比如,有程序基础的,喜欢易于开发和灵活性强的,可以选择帝国cms。喜欢漂亮的,后台易于操作的,想经常换主题的,可以选择wordpress,总的来说,根据个人的情况来选择,选适合自己的,慢慢熟悉系统。
感觉自己代码审计的能力不太行,于是下载了一个cms来锻炼下自己的代码审计功底,这篇文章记录一下这个dedecms代码执行的漏洞
大家好!我是小熊优化的SEOER,在seo优化这个行业已经从业7年多了,优化过不少的个人和企业网站,根据多年的经验也总结出了不少的优化经验,现在大部分的网站,尤其是单位性质的网站基本都是采用CMS系统来做的,今天,在这里我就分享一下这几年来我接触过的几个CMS系统的优化方面的特点,希望对大家有所帮助。
综述 2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。 攻击难度:低。 危害程度:高。 官方修复情况如下:目前暂未发布升级补丁 ---- 什么是DedeCMS 织梦内容管理系统(DeDeCMS) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步。广泛应用于
本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除。一些无关紧要的事情也被略去,但对渗透至关重要的大思路和小细节我都没放过。同时在渗透的时候我没有留下截图,很多图是我后来补上的。转载请注明出处。
灵感不就来了,那么初步判断有可能是dedecms尝试了几个dedecms的目录,均是not found
如果转换插件使用遇到问题,将dedecms的远程数据库账号发送至邮箱530765310@qq.com,yzncms作者提供协助
现在建网站,90%都会采用cms建站系统、可是优秀的建站系统那么多,像国外的JOOMLA、WORDPRESS,国产的PageAdmin、织梦DEDECMS、JTBC、DISCUZ等;网上也有一大堆测评资讯,有说这个好,有说那个差,究竟选哪个?很多小白会很纠结。
之前一直使用dedeCms建站的,时间也算很长了,但是最近我们公司用dede做的网站被频繁被挂马,网上已经找不到解决方法,客户天天投诉,dedecms从原创团队解散后,几年了基本没有什么更新和维护,没有办法只能重新寻找新的cms改版。
其实这个漏洞出来有一段时间了,不算是一个影响特别大的漏洞,毕竟dede是一个内容管理系统,用户这一块本来就基本没有用。该漏洞的精髓就是一个弱类型的比较:'0.0'=='0'
相信许多老站长对织梦系统都很熟了,不过如果你正在使用Dedecms织梦内容管理系统软件就需要注意了,从9月26日起尚未购买DedeCMS商业使用授权的话,那就可能面临遭官方索赔的风险。因为在本月26日,DedeCMS官方发布了《关于提醒办理 DedeCMS产品商业使用授权的通告》。公告称,根据DedeCMS授权协议,除个人非营利网站外,均需购买DedeCMS商业使用授权,授权费为人民币5800元。
dedecms2013年6月7日补丁或者新版本dedecms程序,去掉power by dedecms的方法
春节刚过完,上班的第一天,公司网站被百度停止推广了,百度推广提示:您的url被百度杀毒提示存在网址安全风险,故物料不宜推广;若有异议,请进入百度杀毒申诉通道申诉。第一时间联系了当地百度公司客服,客服帮我们查看了下百度那面反馈的邮件后,说是由于我们网站内容被篡改,导致存在网址安全风险,因此百度推广不让上线,对于我们公司网站产品的推广带来了很大的影响,老板立即把我叫到了办公室。
织梦CMS近期的新版本至2013-6-7更新包以来,不管新版还是旧版更新补丁包,更新后网站页底都会出现power by dedecms。power by dedecms什么意思呢,那power by dedecms怎么去掉呢,请大家看以下方法:
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
