全球中文玩家俱乐部 Chinese players club of the Global .

侠外游戏论坛

 找回密码
 立即注册
快捷导航
搜索
视听
视听
图片
图片
段子
段子
小说
小说
查看: 2619|回复: 5
打印 上一主题 下一主题
收起左侧

[闲聊技术] dedecms注入漏洞filter.inc.php,pm.php,mtypes.php的解决方法

[复制链接]
ミ蒙面侠客ミ
跳转到指定楼层
俺是撸主
ミ蒙面侠客ミ  发表于 2017-6-21 01:30:10 |只看大图 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多侠客,享用更多功能,让你轻松玩转侠外论坛。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
漏洞名称:dedecms注入漏洞
补丁文件:/include/filter.inc.php
补丁来源:阿里云云盾自研
漏洞描述:dedecms的变量覆盖漏洞导致注入漏洞,/include/filter.inc.php这个文件在系统配置文件之后,里面有foreach循环创建变量,所以可以覆盖系统变量, 在/member目录的大部分文件都包含这么一个文件,也就是说/member目录的大部分文件都受此漏洞影响可以覆盖系统变量
解决方法
  • 搜索如下代码(46行):

    • return $svar;
    如下图:
  • 修改 46 行代码,修改代码如下:

    • return addslashes($svar);
    修改后如下图


补丁文件:/member/pm.php
补丁来源:阿里云云盾自研
漏洞描述:dedecms会员中心注入漏洞
解决方法
  • 搜索如下代码(65 行):

    • $row = $dsql->GetOne("SELECT * FROM `#@__member_pms` WHERE id=‘$id‘ AND (fromid=‘{$cfg_ml->M_ID}‘ OR toid=‘{$cfg_ml->M_ID}‘)");
    如下图:
  • 在 65 行代码前,添加代码如下:

    • $id = intval($id);
    修改后如下图


补丁文件:/member/mtypes.php
补丁来源:阿里云云盾自研
漏洞描述:dedecms会员中心注入漏洞
解决方法
  • 搜索如下代码(71 行):

    • $query = "UPDATE `#@__mtypes` SET mtypename=‘$name‘ WHERE mtypeid=‘$id‘ AND mid=‘$cfg_ml->M_ID‘";
    如下图:
  • 在 71 行代码前,添加代码如下:

    • $id = intval($id);
    修改后如下图


沙花按摩
发表于 2017-6-21 09:00:14 | 只看该作者
“朋友”这个词人人都挂在嘴上,但是真正的友谊却很罕见。
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
板凳捶腿
发表于 2017-7-1 12:05:34 本帖发自侠外论坛手机版 | 只看该作者
一个人光溜溜地到这个世界上来,最后光溜溜地离开这个世界而去,彻底想起来,名利都是身外物,只有尽一个人的心力,使社会上的人多得他工作的裨益,是人生最愉快的事情。
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
地板擦鞋
发表于 2017-7-8 19:30:47 | 只看该作者
人类经常把一个生涯发生的事,撰写成历史,在从那里看人生;其实,那不过是衣服,人生是内在的。
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
5位围观
发表于 2021-6-18 03:20:56 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

6位围观
发表于 2022-2-20 01:42:12 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


发布主题 上个主题 下个主题 快速回复 收藏帖子 返回列表 搜索

联系我们|Archiver|手机版|小黑屋|侠外网 ( 豫ICP备13018943号-1 )

GMT+8, 2024-12-22 19:56 , Processed in 0.046124 second(s), 22 queries , Gzip On, Memcache On.

Copyright © 2001-2023 侠外游戏论坛 Powered by !Zucsud X3.5

Support By A mysterious team , A great team ! Email:

快速回复 返回顶部 返回列表