织梦无法上传?出现一个滚动条
eWebEditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。 eWebEditor!已基本成为网站内容管理发布的必备工具!如果有兴趣的话去官方了解详情: http://wwwewebeditornet/先说重点吧,这个编辑器按脚本分主要有3个版本,ASP/ASPX/PHP/ 每个版本都可以利用的先说下FCKeditor的:/admin/FCKeditor/editor/filemanager/browser/default/browserhtmltype=image&connector=connectors/asp/connectorasp可建目录。ASP版:这个版本其实个人感觉是影响最大,使用最多的一个了吧,早期很多asp站都用这个,当然现在也是大量的存在的。。。怎么利用呢?一般用这个的默认后台的URL都是默认的:wwwxxxcom/admin/ewebeditor/admin_loginasp而且账户和密码也基本都是默认的:admin admin对于找这个路径还有个简单的方法,就是在他站上新闻或者其他板块上找,看的URL也是可以找到的,不明白的自己试下就知道了还有如果默认的账户和密码修改了,我们可以下载他的数据库,然后本地破解MD5了默认数据库:/db/ewebeditormdb 或者 /db/ewebeditorasp一般下载数据库后打开察看就可以了,然后后台登陆,新加样式。。。上传ASA马。。。有的站数据库设置了只读属性,这样的站你是无法新加样式的,这样的站你可以看他数据库里的样式设置情况,一般很多时候都是让人给拿过的,而且明显的asa在那里。。。呵呵,这样的话就可以直接构造一个调用这个样式的连接来上传shell比如发现数据库里有样式 123 他设置的是可以上传asa的话那么就可以这样调用: http://wwwxxxcom/eWeb/eWebEditoraspid=contentCN&style=123这样就可以直接上传了,然后在点“编辑”就会找到shell的路径了其实这个漏洞主要是uploadasp的过滤不严造成的,新版的应该都修复了,具体受影响的版本我也没统计过另外在公布另外一个ewebeditor的漏洞漏洞文件:Admin_Privateasp漏洞语句:<%If Session("eWebEditor_User") = "" ThenResponseRedirect "admin_loginasp"ResponseEndEnd If只判断了session,没有判断cookies和路径的验证问题。漏洞利用:新建一个mrchenasp内容如下:<%Session("eWebEditor_User") = "11111111"%>访问mrchenasp,再访问后台任何文件,for example:Admin_Defaultasp这个拿shell的方法就简单了,不详细说了ASPX版:受影响文件:eWebEditorNet/uploadaspx利用方法:添好本地的cer的Shell文件。在浏揽器输入javascript:lbtnUploadclick();就能得到shell,具体大家自己尝试,不明白的联系我,或者留言/ftbimagegalleryaspxframe=1&rif=&cif=\\\\\\\ 可以浏览目录。PHP版关于eWebEditor 漏洞php版本的和asp的一样。有目录浏览。和编辑扩展名。重点在于虽然支持了php格式但上传还是上传不了。不过利用织梦的gif89a漏洞倒可以实现php一句话上传,然后再上传webshell。备注:织梦的gif89a漏洞,准确来说应该是DEDECMS中所用的php版的FCKeditor存在上传漏洞,gif89a文件头欺骗。DEDECMS中在上传拖上没有对picSubmit进行任何处理。但是却不能直接上传php马。因为会识别。
1、打开织梦网站后台网址,输入网站用户名、密码和验证码,点击登录,进入织梦网站后台
2、点击织梦网站后台左侧的模块选项,
3、点击模块选项下的文件管理器,
4、按ctrl+f组合键,找到include文件夹,点击进入
5、在incude文件夹里,找到uploadsafeincphp 文件,点击编辑进入
6、在uploadsafeincphp文件夹中找到 $imtypes改为 $imgtypes,点击保存。
可以试试。
不能上传成功的原因大概有以下几种:
1、目录上传权限不够。
2、程序本身漏洞导致,或程序不完整导致。
3、操作系统问题。
检测目录权限
当 提示上传失败的时候,我首先检测的是文件权限是否足够。经过检测,文件夹的权限是755表示已经足够,并且已经重新创建了文件夹并赋予最高权限,依然 没有解决该问题,接着检测用户组权限是否足够,通过检测也没有发现任何的问题,因此文件夹权限导致不能正常上传的可能性被排除。
网站程序完整性
接着检测网站程序的完整性,发现十多个网站都不能正常上传,于是排除了网站程序完整性导致上传失败的可能性。
操作系统问题
于是检测 WEB NGINX 服务器,将上传文件夹的可执行权限开放,但任然不能成功上传。此时,忽然想起了之前配置过 phpini 配置文 档,将 open_basedir 配置成了网站程序所在根目录 /htdocs,于是将该行代码注释掉,之后便成功的上传了,问题被解决掉。但是, 这样做放弃了安全性,有些舍不得。
通过以下方法,不仅让安全性提高,也解决了上传失败的问题:
phpini 中的open_basedir 表示:php程序执行限制在了指定的目录中,这样可以限制入侵者继续提权到操作系统,安全性有更一步的保障。其 中 upload_tmp_dir 表示的是文件上传临时目录,如果设置了 open_basedir 参数,那么 upload_tmp_dir 必须 配置,否则文件上传将不能成功。
总结:遇到不能上传,表示相当棘手。需要从上传的类型、的尺寸、文件夹权限、程序完整性到最后 的系统环境一一分析,遇到问题不要焦急,相信经过透彻的分析与测试,问题总会被解决掉。本文最终解决方法就有两个,注释 open_basedir 该行 代码就能解决问题,如果配置了 open_basedir 那么需要设定文件上传临时目录,最后笔者将 upload_tmp_dir 设定 为 /tmp 后,就可以成功上传了!
1、首先开启站点伪静态功能。登录dede管理员后台->系统->系统基本参数->核心设置->是否使用伪静态 请选择“是”。
2、修改源程序,实现首页伪静态、频道页伪静态、列表页伪静态、文章页伪静态,这是过程比较复杂,不如其它php开源程序操作简单。
3、制作编写htaccess和htaccess文件规则,上传到DedeCms的安装目录。
织梦DedeCms全站伪静态教程:含列表|文章|问答|搜索|TAG伪静态规则:
1、网站服务器和网站空间是否支持伪静态:
这点特别重要,要么所以设置都不起作用。如果你的网站使用的是服务器,那么就可以自己动手设置一下,如果是空间的话,可以询问下IDC服务商客服,看是否支持伪静态(一般空间都是支持伪静态的)。Apache服务器伪静态相对简单,直接在htaccess文件中加入相应伪静态规则即可;而IIS服务器伪静态的实现,则需要加载Rewrite组件,然后配置httpdini文件。
2、开启DedeCMS伪静态:
1)织梦DedeCms后台-系统参数-核心设置-是否使用伪静态:选择“是”;
2)如果你启用了织梦DedeCms问答模块,则在后台-系统参数-模块设置-是否使用Rewrite:选择“是”;
3)创建栏目或批量增加栏目时,栏目列表选项:选择“使用动态页”; 添加新文章时,发布选项:选择“仅动态浏览 ”。同样你也可以更改他们的模板,让他们默认就是这两个值,一劳永逸。修改方法很简单,方法如下:
找到后台文件:/dede/templets/catalog_addhtm 修改添加栏目时默认“使用动态页”
<td height="26" style="padding-left:10px;">栏目列表选项:</td>
<td><input type='radio' name='isdefault' value='1' class='np' checked="checked" />链接到默认页
<input type='radio' name='isdefault' value='0' class='np' />链接到列表第一页
<input type='radio' name='isdefault' value='-1' class='np' />使用动态页</td>
改为下面代码
<td height="26" style="padding-left:10px;">栏目列表选项:</td>
<td><input type='radio' name='isdefault' value='1' class='np' />链接到默认页
<input type='radio' name='isdefault' value='0' class='np' />链接到列表第一页
<input type='radio' name='isdefault' value='-1' checked="checked" class='np' />使用动态页</td>
找到后台文件:/dede/templets/article_addhtm 修改添加文章时默认“仅动态浏览”
<td width="90">发布选项:</td>
<td width="379"><input name="ishtml" type="radio" class="np" value="1" checked="1" />生成HTML
<input type="radio" name="ishtml" class="np" value="0"/>仅动态浏览 </td>
改为下面代码
<td width="90">发布选项:</td>
<td width="379"><input name="ishtml" type="radio" class="np" value="1" />生成HTML
<input type="radio" name="ishtml" class="np" value="0" checked="1"/>仅动态浏览 </td>
4)如果网站已经存在生成的静态栏目或文章HTML,那么只需在后台-系统-SQL命令行工具 中执行如下语句:
update dede_arctype set isdefault=-1;
update dede_archives set ismake=-1;
注:命令中dede是网站安装时的数据表前缀,根据实际情况进行替换。
3、开启DedeCms伪静态支持并不能完全在后台配置,有很多地方还是需要手动修改的。下面讲解DedeCms全站伪静态的实现方法,适用于V53以上版本。这次的DedeCms伪静态测试环境是Windows IIS6,对于Linux或其它服务器的伪静态实现原理都是一样的,只要搞清楚思路就行。
1)DedeCms首页伪静态:
把站点根目录下indexhtml删除,以后不更新主页HTML就可以了,当然你也可以选择不使用动态首页。
2)DedeCms频道|列表页|文章页伪静态:
主要通过修改GetFileName()、GetTypeUrl()这两个函数实现。DedeCms V53、DedeCms V55和DedeCms V56版本,打开/include/channelunitfuncphp进行修改。注意:DedeCms V57,此文件路径更改了,你打开/include/helpers/channelunithelperphp即可。
A将GetTypeUrl()中的如下代码:
//动态
$reurl = $GLOBALS['cfg_phpurl']"/listphptid="$typeid;
替换为
//动态
$reurl = "/category/list-"$typeid"html";
这步必须修改,即让你的频道或是列表页URL变更为/category/list-1html形式。
B将GetFileName()中的如下代码:
//动态文章
if($cfg_rewrite == 'Y')
{
return $GLOBALS["cfg_plus_dir"]"/view-"$aid'-1html';
}
替换为
//动态文章
if($cfg_rewrite == 'Y')
{
return "/archives/view-"$aid'-1html';
}
将文章页默认的/plus/view-1-1html链接格式改为/archives/view-1-1html,随个人喜好,不改也行。
3)DedeCms列表分页伪静态:
打开/include/arclistviewclassphp,找到获取动态的分页列表GetPageListDM()函数末尾处:
$plist = str_replace('phptid=', '-', $plist);
替换为
$plist = str_replace('plus', 'category', $plist);//将默认的plus替换成category
$plist = str_replace('phptid=', '-', $plist);
将列表分页默认链接格式/plus/list-1-2-1html修改为/category/list-1-2-1html,这步也可以不作更改。
4)DedeCms文章分页伪静态:
打开/include/arcarchivesclassphp,找到获取动态的分页列表GetPagebreakDM()函数末尾片:
$PageList = str_replace("phpaid=","-",$PageList);
替换为
$plist = str_replace('plus', 'archives', $plist);//将默认的plus替换成archives
$PageList = str_replace("phpaid=","-",$PageList);
这步不作修改也可以,只是个人喜好问题。
5)DedeCmsTAG标签伪静态:
DedeCms默认的TAG标签URL,形如/tagsphp/dedecms57/,特别的难看。打开/include/taglib/taglibphp,找到lib_tag()函数下的:
$row['link'] = $cfg_cmsurl"/tagsphp/"urlencode($row['keyword'])"/";
替换为
$row['link'] = $cfg_cmsurl"/tags/"urlencode($row['keyword'])"/";
到这里,TAG标签URL中的“php”号就去掉了。
6)DedeCms搜索伪静态:
DedeCms搜索URL静态化比较麻烦,附带参数多不说,参数也可能变化,像搜索结果分页的URL就特麻烦,伪静态规则匹配复杂。将搜索URL中“searchphp…”直接替换为“searchhtml…”,至于“”号之后的参数以任意字符进行匹配。
依次打开include文件夹下的channelunitfuncphp、arcsearchviewclassphp、arctaglistclassphp以及/include/taglib/hotwordslibphp,查找“searchphp”替换为“searchhtml”即可。
7)DedeCms问答伪静态:
问答模块的伪静态实现比较简单,只要后台开启伪静态支持即可,至于个别页面,如ask目录下的browserphp、questionphp以及include目录下的commonincphp、functionsincphp都需要简单修改才可以匹配伪静态规则。注意一点,DedeCms V57问答模块整体升级了,之前的规则已经不适用了。
4、DedeCms伪静态规则:
依照上面的步骤修改完毕,接下来配置好httpdini文件和htaccess文件伪静态规则,则DedeCms全站伪静态就完美实现。
1)IIS伪静态
打开httpdini文件,加入如下规则:
#首页伪静态规则,如果不使用动态首页,请勿必删除这一行,否则打开首页会出现死循环
RewriteRule ^()/index\html $1/index\php [I]
#列表页伪静态规则
RewriteRule ^()/category/list-([0-9]+)\html $1/plus/list\php\tid=$2 [I]
RewriteRule ^()/category/list-([0-9]+)-([0-9]+)-([0-9]+)\html $1/plus/list\php\tid=$2&TotalResult=$3&PageNo=$4 [I]
#文章页伪静态规则
RewriteRule ^()/archives/view-([0-9]+)-([0-9]+)\html $1/plus/view\php\arcID=$2&pageno=$3 [I]
#搜索伪静态规则
RewriteRule ^()/search\html(:(\)) $1/search\php$2 [I]
#TAG标签伪静态规则
RewriteRule ^()/tags\html $1/tags\php [I]
RewriteRule ^()/tags/()(:(\)) $1/tags\php\\/$2 [I]
RewriteRule ^()/tags/()\/(:(\)) $1/tags\php\\/$2\/ [I]
RewriteRule ^()/tags/()\/([0-9])(:(\)) $1/tags\php\\/$2\/$3 [I]
RewriteRule ^()/tags/()\/([0-9])\/(:(\)) $1/tags\php\\/$2\/$3\/ [I]
#问答伪静态规则,适用于DedeCmsV53-56版本,需要修改几处程序
RewriteRule ^()/post\html $1/post\php [I]
RewriteRule ^()/type\html $1/type\php [I]
RewriteRule ^()/question-([0-9]+)\html $1/question\php\id=$2 [I]
RewriteRule ^()/browser-1-([0-9]+)\html $1/browser\php\tid=$2 [I]
RewriteRule ^()/browser-2-([0-9]+)\html $1/browser\php\tid2=$2 [I]
RewriteRule ^()/browser-1-([0-9]+)-([0-9]+)\html $1/browser\php\tid=$2&page=$3 [I]
RewriteRule ^()/browser-2-([0-9]+)-([0-9]+)\html $1/browser\php\tid2=$2&page=$3 [I]
RewriteRule ^()/browser-([0-9]+)\html $1/browser\php\lm=$2 [I]
RewriteRule ^()/browser-1-([0-9]+)-([0-9]+)\html $1/browser\php\tid=$2&lm=$3 [I]
RewriteRule ^()/browser-2-([0-9]+)-([0-9]+)\html $1/browser\php\tid2=$2&lm=$3 [I]
2)Apache伪静态:
打开htaccess文件,加入如下规则:
#提供部分规则作参考
RewriteRule ^category/list-([0-9]+)\html$ /plus/listphptid=$1
RewriteRule ^category/list-([0-9]+)-([0-9]+)-([0-9]+)\html$ /plus/listphptid=$1&totalresult=$2&PageNo=$3
RewriteRule ^archives/view-([0-9]+)-([0-9]+)\html$ /plus/viewphparcID=$1&pageno=$2
RewriteRule ^indexhtml$ indexphp
注:1以上提供的DedeCms伪静态修改以及规则都是按照个人的修改步骤来的,仅供参考,你可以根据站点的实际情况作相应调整;2伪静态实现思路,即根据理想的URL结构写好伪静态规则,然后对程序进行相应修改,并没有你想象中的那么复杂;3不会程序、不会正则都没有关系,但是思路一定要清晰,还有就是禁得住“折腾”,多研究,搞透了,对提升自己也有极大好处。
来源:申永祥(微信/QQ号:982390252),欢迎分享本文,转载请保留出处!
很简单啦!按着我的步骤来
1~解压你的模板,
2~将模板文件复制到你网站的模板文件夹里,该替换的就替换,
3~更新!
这是替换型的模板,针对模板文件不全的,
第二种方法是针对全站模板的〔也就是有全站样式CSS,主页模板,头部模板,尾部模板,频道~列表页模板,文章页模板,〈搜索模板,登录模板〉等〕如果模板文件夹里有这些文件就可以采用这种方法,简称并列共存更改法,具体方法如下
1,解压模板,确认是全站模板
2,更改模板文件夹的名字,改成简短,容易理解的名,不可用中文,建议用字母,〈默认应该是模板提供网站的域名〉
3,将模板文件复制到模板文件夹里'也就是存放原模板的文件夹,改过名就不会提示替换了
4,进入后台,点系统~基本参数~更改默认模板文件名为你刚刚改的那个文件夹名〈在是否复选下面〉然后点确定
5,点生成~更新主页~选择主页模板,这里选你模板文件夹里的index模板〈主页模板〉然后生成主页
6,点更新全站就ok
很简单吧
下图所示情况,织梦网站上传不了的解决办法如下:我使用的是dedecms57SP2版本
(步骤1)打开phpstudy,点击“PHP版本”,将PHP版本切换到55及以上,点击“应用”
(步骤2)重启phpstudy,就可以上传了。
0条评论