腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

[织梦] dedecms织梦uploadsafe.inc.php上传漏洞解决方法

2
回复
2058
查看
[复制链接]

761

主题

775

帖子

3万

积分

董事

Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72

积分
32836
发表于 19-5-12 10:18:35 | 显示全部楼层 |阅读模式      紫钻仅向指定用户开放  
漏洞描述:
dedecms过滤逻辑不严导致上传漏洞。
( [9 ?; A  X$ g, H1 K- o0 P5 C

8 U+ d3 }* }4 Q4 X' P! G# G1 o                               
登录/注册后可看大图
  j7 |' `- _; x8 ~% x0 @8 Z
下面告诉大家解决的办法:
我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:
  1.        if(empty(${$_key.'_size'}))  Q- `: ]: w  b, f* b
  2.            {: @. |' y9 e$ u2 l& K6 h
  3.                ${$_key.'_size'} = @filesize($_key);/ H! @6 `% ^) f0 F0 X$ [6 W1 h) b
  4.            }
复制代码
8 \, M+ U+ l7 M8 U; z- W% Y' F( `: @
在其下面添加如下代码:
  1.        $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");
    7 l# ]5 g/ N6 R. k

  2. 9 p# ]2 S1 K' p$ _5 z% D
  3.         if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){
    3 E1 O) b( C6 B3 u

  4. 4 q0 E5 o1 T+ }, L* I
  5.         $image_dd = @getimagesize($_key); if($image_dd == false){
    / H4 V; L# q5 M: o+ x6 M

  6. ' ?( @+ I( D0 q
  7.                    continue;8 t+ I3 M( f1 ~4 c; m5 C% x
  8. ' F5 d( r4 o: |' G; _4 h. A: Q6 I: `
  9.                }, }* M' b  p/ m4 W1 y6 }) C8 p

  10. ) `. W7 d5 h! r- I$ U  ^( A
  11.                if (!is_array($image_dd)) {
    6 G; g1 Y1 M* E
  12. - ]" h! p( x9 F& X; o
  13.                    exit('Upload filetype not allow !');
    ( Q/ \! G$ ^# o
  14. 3 l: R6 N+ ^, U7 p. e, ?
  15.                }( \& W6 g7 \: N# p+ [' ^

  16. " D' k( N4 B9 J) M, U9 v) O7 E6 }
  17.            }
复制代码

5 D$ F! ]) x; y9 z  e3 O
然后继续在下面一点的位置找到如下代码:
  1. $image_dd = @getimagesize($_key);
复制代码

) ~. C" n4 @2 q5 m* m" D& v, k
在其下面添加如下代码:
  1. if($image_dd == false){ continue; }
复制代码
2 ^# n$ e, X  U0 B& M2 G8 W( k1 f
添加完成后保存并替换原来的文件即可,这样阿里云后台就没有这个漏洞提示了。

) p- \4 `) K3 Y* s
& m$ U6 w( Z4 j- K( h4 V

1

主题

7

帖子

25

积分

1°伸手党

Rank: 2

积分
25
发表于 19-10-8 06:50:26 | 显示全部楼层         
小手一抖,钱钱到手!
回复

使用道具 举报

0

主题

6

帖子

4

积分

1°伸手党

Rank: 2

积分
4
发表于 19-11-2 21:21:43 | 显示全部楼层         
路过,学习下
回复

使用道具 举报

网站简介

球球发,是一家 Discuz! 商业插件、风格模板、网站源码、 Discuz!运营维护技术等于一体的交流分享网站,全站95%的资源都是免费下载,对于资源我们是每天更新,每个亲测资源最新最全---球球发(如果我们有侵犯了您权益的资源请联系我们删除