本文目录一览:
- 1、解决DEDECMS历史难题--找后台目录
- 2、织梦dedecms内容页调用会员等级
- 3、发现dedecms5.7版本exp注入漏洞怎么办
- 4、最新版dedecms怎么实现PC站和手机站数据同步
解决DEDECMS历史难题--找后台目录
详细分析见文章:
关键点:
文章提供了一个php的exp,评论区也有其他的exp,我简单搞了一下py脚本,有点拙劣,但还算能用:
然后还有一个奇淫技巧,就是当我们上传一个shell被重命名的时候,我们可以利用文件包含和通配符 或者 来包含shell,从而达到getshell的目的。
新建两个文件,5149ff33ebec0e6ad37613ea30694c07.php、demo.php。
访问 ;lt ,即可成功包含5149ff33ebec0e6ad37613ea30694c07.php文件。
参考: 奇技淫巧 | 读DEDECMS找后台目录有感
织梦dedecms内容页调用会员等级
比如你想在DEDE首页或者内页里调用会员:用户名、昵称、性别、会员等级、注册邮箱、会员级别等信息.就需要我们本篇教程提供的调用标签了.
首先,我们打开文件 include/extend.func.php 在代码最后面的结尾处,添加以下代码:
function GetMemberInfos($fields,$mid){
global $dsql; if($mid = 0){
$revalue = "Error"; }
else{
$row=$dsql-GetOne(“select * from dede_member where mid = ‘{$mid}’”);
if(!is_array($row)){
$revalue = “Not user”;
} else{
$revalue = $row[$fields];
}
}
return $revalue;
}
注:“dede_member”里的“dede_”改成你的数据库表前缀
修改好代码之后即可保存文件,然后我们来调用会员信息:
在内页进行调用,调用标签如下:
昵称:
{dede:field.mid function=”GetMemberInfos(‘uname’,@me)”/}
会员类型:
{dede:field.mid function=”GetMemberInfos(‘mtype’,@me)”/}
…..以此类推,标签DIY释义详解:
mid:表示会员的唯一编号,由于其唯一的特性,一般用于区别会员;
mtype:表示会员的类型(如自带的“个人”与“企业”);
userid:表示会员用户名(也就是用于登陆);
pwd :表示用户的密码;
uname:表示用户的昵称;
sex:表示用户的性别;
rank:表示用户的等级(也就是后台的用户级别);
uptime:表示用户升级会员组的时间;
exptime:表示用户会员组的有效期天数;
money:表示用户拥有的剩余金币数量;
email:表示用户的注册邮箱地址;
scores:表示用户拥有的剩余积分数量;
matt:表示用户的级别(0为普通,1为推荐,10为后台超级管理员)
发现dedecms5.7版本exp注入漏洞怎么办
如果只需要展示功能,保留静态页就好,每次更新上传后台和include文件,上传后删除文件。要是自己的服务器,就把后台目录放到其他文件夹里,每次更新复制过来,更新后删除。这样是最安全的。
dedecms的漏洞不少,补来补去,不如釜底抽薪。
最新版dedecms怎么实现PC站和手机站数据同步
一、最新版的织梦本身就有手机版的功能,根目录下的m文件就是手机版的入口文件,手机版文件的命名是的PC版的命名加上后缀_m。如PC版的文件是list_article.htm则对应的手机版的文件命名为list_article_m.htm
二、手机版的文件跟PC的放一起就行了,如PC的放在templets/moban文件夹下,手机的也放在这个文件夹下就可以了,只是调用路径不能用[dede:typelink/]手机的调用路径是href="list.php?tid=[field:id/]"。不用管data下的common.inc.php文件,默认就是共用数据库的,如果要把手机版的也做成静态而同步更新数据的话,具体dede0.com有详解