PHPCMS漏洞之邏輯問題導致getshell-PHPCMS-PHP中文網

首頁

CMS教程

PHPCMS

PHPCMS漏洞之邏輯問題導致getshell

爱喝马黛茶的安东尼

Nov 21, 2019 am 09:23 AM

getshellphpcms漏洞

關於phpcms某處邏輯問題導致getshell的修復問題

简介：
1. 漏洞名称：phpcms某处逻辑问题导致getshell
2. 补丁文件：/phpcms/libs/classes/attachment.class.php
3. 补丁来源：云盾自研
4. 漏洞描述：phpcms的/phpcms/libs/classes/attachment.class.php中，对输入参数$ext未进行类型限制，导致逻辑漏洞的产生。
【注意：该补丁为云盾自研代码修复方案，云盾会根据您当前代码是否符合云盾自研的修复模式进行检测，如果您自行采取了
底层/框架统一修复、或者使用了其他的修复方案，可能会导致您虽然已经修复了改漏洞，云盾依然报告存在漏洞，遇到该情况
可选择忽略该漏洞提示】
…
阿里云漏洞提示。

解決方法：

1.根據漏洞描述，找到對應檔案attachment.class.php的對應位置(第144行附近)，並加入修補程式程式碼。

補丁程式碼如下：

if($ext !== &#39;gif|jpg|jpeg|bmp|png&#39;){
    if(!in_array(strtoupper($ext),array(&#39;JPG&#39;,&#39;GIF&#39;,&#39;BMP&#39;,&#39;PNG&#39;,&#39;JPEG&#39;))) exit(&#39;附加扩展名必须为gif、jpg、jpeg、
    bmp、png&#39;);
}

新增後的程式碼，截圖如下：

PHPCMS漏洞之邏輯問題導致getshell

2.然後，將修改好的文件，上傳到伺服器對應檔案位置，直接覆蓋；

3.最後，登入阿里雲後台，點選驗證(截圖如下)，即可完成漏洞修復。

PHPCMS漏洞之邏輯問題導致getshell

以上就是關於「 phpcms某處邏輯問題導致getshell 」漏洞修復的全部內容。

PHP中文網，大量的免費PHPCMS教學，歡迎線上學習！

以上是PHPCMS漏洞之邏輯問題導致getshell的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：CSDN。如有侵權，請聯絡admin@php.cn刪除

phpcms是什么框架Apr 20, 2024 pm 10:51 PM

PHP CMS 是一种基于 PHP 的开源内容管理系统，用于管理网站内容，其特点包括易用性、强大功能、可扩展性、安全性高和免费开源。它可以节省时间、提升网站质量、增强协作并降低开发成本，广泛应用于新闻网站、博客、企业网站、电子商务网站和社区论坛等各种网站。

phpcms怎么跳转到详情页Jul 27, 2023 pm 05:23 PM

phpcms跳转到详情页方法：1、使用header函数来生成跳转链接；2、循环遍历内容列表；3、获取内容的标题和详情页链接；4、生成跳转链接即可。

微信登录集成指南：PHPCMS实战Mar 29, 2024 am 09:18 AM

标题：微信登录集成指南：PHPCMS实战在今天的互联网时代，社交化登录已经成为网站必备的功能之一。微信作为国内最流行的社交平台之一，其登录功能也被越来越多的网站所采用。本文将介绍如何在PHPCMS网站中集成微信登录功能，并提供具体的代码示例。第一步：注册微信开放平台账号首先，我们需要在微信开放平台上注册一个开发者账号，申请相应的开发权限。登录[微信开放平台]

phpcms是什么意思Apr 20, 2024 pm 10:39 PM

PHPCMS 是一款免费开源的内容管理系统 (CMS)，特点包括：开放源码、模块化、灵活、用户友好和社区支持。它可用于创建各种类型的网站，包括企业网站、电子商务网站、博客和社区论坛。技术要求包括：PHP 5.6 或更高版本、MySQL、MariaDB 或 PostgreSQL 数据库以及 Apache 或 Nginx Web 服务器。