之前因为ytkah批量添加了dedecms文章,数量有些多,后面出现问题了,想要删除一部分织梦文章,后台一篇篇删,删到手软(相关内容:修改dedecms关键词到手软),于是就想到了sql数据库操作
安装之前需要准备 空间可以正常使用PHP+MYSQL 空间数据库用户名和密码 第一步:下载后解压uploads文件夹到指定的文件夹内(我这使用的www/dedecms文件夹,本例用网站目录代替) 第二步:在地址栏输入http://您的域名/dedecms(如果你在本地测试那么就是http://localhost/dedecms/) 第三步:同意安装协议,点击继续 第四步:环境检测,如果都符合要求则点击继续 第五步:参数配置 选择需要的模块安装(这里只是演示入门教程,所以就不没有安装任何) 数据库信息填写(其
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
一位小MM刚接触dedecms没多久还不熟悉后台的操作,她说改dedecms文章中的品牌名改到手酸,问ytkah是否有批量替换关键词的方法,教了她dedecms后台批量替换文章中的关键词方法,她高兴坏了,感觉非常神奇!过没几分钟,她又发愁了,说标题还是没变,不知道如何批量替换dedecms文章标题中的关键词。
我们在用帝国CMS建站过程中,肯定要进行测试,当测试完之后,往往会有很多栏目和文章要删除,之后重新新建栏目和发布文章的时候会发现栏目id和文章id并不是从1开始的,这是因为之前的数据虽然被清空删除了,后面如果新增栏目和文章的话帝国cms会默认的在之前的栏目id和文章id的后面进行递增的,那么如何将之前的栏目id、文章id清理干净,然后实现我们新发布文章id和新建栏目id从1开始呢?
总结一些防止dedecms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。 1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称如diy_ 2.装好dede织梦cms系统后删除装文件install 3.修改织梦后台文件目录:把默认的dede改成其他名字 4.织梦后台后台密码尽量复杂化:密码应该由大写字母、小写字母和数字组成 5.将系统的data目录迁移到根目录以外:data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安
作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日, 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改
老蒋在上周的时候有记录和整理"帝国CMS最新版本下载和详细的安装图文教程记录"帝国CMS程序的安装和体验,在N年前老蒋对于这款CMS还是比较熟悉的,帝国CMS7.5版本和早年的没有特别的区别,但是在功能和移动端是有加强部分功能。如果我们需要依靠CMS搭建交互性较强的,以及选择安全性较高的CMS程序可以使用帝国CMS,但是如果我们需要简单的WEB1.0内容管理系统,老蒋个人觉得帝国CMS稍显累赘。
最近有网站用了织梦,因为dedecms后台实在复古且复杂,所以一直没有好好长久接触。但瘦死的骆驼比马大,不得不承认织梦的模板还是非常多的。
进入DedeCms后台 -> 系统 -> 数据库备份/还原 备份文件在\data\backupdata
织梦程序依托MySQL数据库、PHP开发环境、服务器(Apache或Nginx),初学期间安装这些环境对初学者是极其困难,因此,我们可以借助集成开发环境,也就是通过一个软件完成以上所有环境的配置。 基于Linux操作系统、PHP开发环境、MySQL数据库、Apache服务器的集成开发环境软件还是有很多的,DeDeCMS官方提供了DeDeApZ、还有Apmserver、PHPStudy等软件。
前段时间网站被黑了,从百度打开网站直接被劫持跳转到了cai票,du博网站上去,网站的首页index.html文件也被篡改成一些什么北京sai车,pk10,一些cai票的关键词内容,搞得网站根本无法正常浏览,从百度搜索我们公司网址,直接被百度拦截,提示什么:百度网址安全中心提醒您:该页面可能存在违法信息!截图如下:
用dedecms采集时标题字段设置错了,出现了注释符号,导致后台的文章列表出现错误,也无法直接从列表中删除,可以远程登录数据库去操作,这个相对比较麻烦,想着直接从后台的SQL命令行工具删除。修改前先做好备份,以防万一。找到“系统” - 系统设置 - SQL命令行工具删除,输入如下代码 DELETE FROM dede_addonarticle WHERE aid =347; DELETE FROM dede_arctiny WHERE id =347; DELETE FROM dede_a
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
老蒋刚才准备将一个客户的企业网站(采用DedeCMS系统搭建)上线的。因为我们是采用本地主题前端模式,内核的程序一般还是要安装最新的。于是我在真实服务器环境中常规的安装织梦程序的时候没有问题,但是在设置账户密码之后,居然无法登录。
织梦dedecms是站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序。下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率。 dedecms的漏洞主要集中在data、include、plus、dede、member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 install安装程序(必
2.检查selinux是否已关闭,防火墙的80端口是否已打开,或者是否清空了防火墙规则:
DEDECMS怎么样能快捷或者批量修改网站所有文章的超链接和锚文本,超链和所有关键词锚文本的链接需要修改?
最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/
之前一直使用dedeCms建站的,时间也算很长了,但是最近我们公司用dede做的网站被频繁被挂马,网上已经找不到解决方法,客户天天投诉,dedecms从原创团队解散后,几年了基本没有什么更新和维护,没有办法只能重新寻找新的cms改版。
今天老蒋和makedown同学在讨论大数据网站使用哪种CMS比较好时候都提到国内比较老牌的DEDECMS织梦和帝国CMS程序,这两者内容管理系统还是比较有代表性的,曾经相对而言DEDECMS易用性较强且使用用户确实是比较多,但是安全性一般而且目前基本也没有官方维护。但是帝国CMS程序一直在有维护更新,而且安全性是比较强的,老蒋早年也有接触和安装过感觉易用上手体验稍微欠缺一点。
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞。
虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插件,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。从功能上看目前已经基本完善,这个也可能是老蒋认为一直没有升级更新的原因之一。
就如Windows中软件安装包一样,Linux中软件也有指导安装的文件,解压完成后找到readme.txt文件,查看其内容,其实安装方法就在这里。
用dedecms批量建站一般直接把文件打包复制,然后导入数据库,一个新网站就好了,但有时后台一直无法登录,提示验证码错误。那我们就想怎么把验证码关闭,现在就给大家解决织梦去掉后台登陆验证码。我们知道dedecms后台正常关闭验证是在【系统】→[验证码安全设置]→开启系统验证码,把【后台登陆】前的勾去掉就可以,但这个需要登录后台才能操作。其实只要用心你就会发现,在后台参数里修改验证参数,其实就等于修改网站内部的一个文件,只是在后台操作的选项有限,没有提供更多的修改接口,其实很多东西只是官方觉得没什么必要修
关于织梦DedeCMS程序整站迁移搬迁服务器/主机的问题是我在上一篇文章中给网友解决问题的时候想到的话题,我并没有帮他迁移数据。只是顺带想到就一并简单的记录学会织梦DedeCMS整站迁移主机/服务器,这里他没有更换域名,所以相对来说简单一些。
深信服公众号前几天发了Dedecms未授权RCE的漏洞通告。地址是这个: 【漏洞通告】DedeCMS未授权远程命令执行漏洞
小李子最近在学习dedecms,在网上下载了一个二次开发的系统,顺利安装后想要还原一下作者的备份数据,可一直没有成功,让ytkah查看一下什么情况。进到后台,点击还原,提示/e/class/fun
大家好,又见面了,我是你们的朋友全栈君。power by dedecms什么意思,power by dedecms怎么去掉
对刚开始学习Dede织梦建站的同学,当在本地调试好网站上传到服务器后,在没有采取防护的情况下,网站很容易被挂马,挂马后,网站首页会被篡改,或者网站被恶意跳转到别的不相关的网站上。所以为了避免这种情况的发生,本站整理以一些关于“Dede织梦网站被挂马原因及解决办法”能帮助到大家。
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
无论是Wordpress dedeCMS Discuz Zblog Typecho等博客程序都是一样的原理
4 由于机器有限,尽可能地把三个站点放到同一台服务器上,然后做负载均衡集群,要求所有站点域名解析到一个ip上,也就是说只有一个出口ip
这两天我们是不是看到有关于熟悉的DEDECMS织梦程序有发布通告,告知从10月25日24时之前,如果个人或者企业有在使用DEDECMS织梦程序的,且有在用商业用途的,必须要进行购买商业授权才可以使用,否则就可能遭受法律诉讼。一时间,我们站长圈内各种讨论,有的同学给客户做的企业网站几百个都是用的DEDECMS程序,这下有些犯难,如果一个授权5800元,那100个就是58万。这个成本还是相当高的,有些朋友接单的企业网站都没有5800元。
我们平常使用织梦后台做建站的时候都会发现,如果调用版权信息的时候,在底部使用cfg_powerby调用的时候出现power by dedecms的链接信息,而这个链接又是个导出链接,我们怎么样才能一劳永逸的直接去掉呐,下面站优云小编就跟大家分享一下。
之前写了一篇dedecms后台批量替换文章中的关键词,这边我们介绍一下用sql数据库批量替换dedecms内容关键字,当然要求你对数据库比较熟悉,修改前请自行做好备份。
我们很多站长是否遇到这样的问题,比如我们开始建站的时候可能会更新不少的文章,也有是通过采集获取的图文。但是后续有可能考虑网站内容的变化调整,有些文章是准备删除不要。于是我们可能单篇、批量删除文章,不过我们把文章是删除,同时文章中有的图片和附件还在我们的图片文件夹中。
最近品自行发现我的织梦DEDECMS站有个问题,文章标题全是一样的长度,而且有些稍微长点的文章标题都被截取成固定长度的标题了,导致了文章标题显示不全,不仅是后台,前台也是一样的问题。品自行博客通过以下几个步骤解决:
很明显这就是一个收集QQ账号密码的,当然了这只是对我来说... 很多不是相关专业的朋友打开这样的链接也看不出和官方的区别。这里给大家分享一下如何辨别类似的假冒网站吧。1、 按理说要在中国大陆内搭建网站都是需要备案的,如果面向国内业务的网站没有备案,那百分之90都不是正规。点我查询网站备案信息 2、看域名后缀,如果类似这种cfd、xyz、top之类的 没几个大公司用这种域名,因为便宜,骗子们用完就丢了。大部分都是com、cn、net、org等
之前也写过几篇关于dedecms漏洞复现的文章了,光是复现也没什么意思,于是利用google hacking技巧,找到了一个使用dede的站点,正好用上了之前几篇文章里提到的所有的技术。所以特地写出来,也当做一个总结吧。
我们在用dedecms建站时,安装一般都“下一步”直接往下点,这样默认的表前缀是dede_,如果我们要还原从其他地方拷贝过来的数据,一定要注意表头是否一致。如果表头不一样怎么办呢?有两种方法,第一
dedecms2013年6月7日补丁或者新版本dedecms程序,去掉power by dedecms的方法
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K等等的内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌bo网站上去。
本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS 同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。
这段时间在赶一些新项目,我们建站一般都在本地服务器搭建起来,测试得差不多了才传到网上,这样对蜘蛛也相对友好一些,要不然改来改去变化太大给搜索引擎的第一印象很不好。但是由于本地环境和服务器环境还是有
本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现,因为代码审计较弱,代码这一块的分析借鉴了一些大佬们的思想,在这里对大佬们表示衷心的感谢。
百度站长工具推出主动提交功能有一段时间了,可以将新产出链接立即通过此方式推送给百度,以保证新链接可以及时被百度收录。那么dedecms如何批量导出新增文章url呢?你可以用标签调用最新文章,可以用
我们很多时候在使用DEDECMS织梦程序,如果我们有些文章由于后续不再需要可能大部分网友是直接删除文章的。但是我们文章对应当初添加的TAG标签还是在的,这个我们如何删除呢?一个个删除肯定是不现实的,我们可以通过下面SQL方法删除。
领取专属 10元无门槛券
手把手带您无忧上云