DedeCMS media_add.php文件的作用和漏洞描述

DedeCMS作为一款广泛使用的内容管理系统， 其后台管理功能中包含了多个用于文件上传的接口，特别是在富文本编辑器中集成了文件上传控件。media_add.php是后台负责处理媒体文件上传请求的重要脚本。

只是 早期版本的DedeCMS在media_add.php文件中对上传文件后缀名的校验不够严格，导致黑客可以绕过限制上传包含恶意代码的脚本文件，从而实现任意代码施行，获得网站后台权限，这是一种典型的任意文件上传漏洞。

漏洞具体表现

• 缺乏有效后缀名限制：系统未严格过滤凶险脚本 名，如 .php, .asp, .jsp 等。
• 上传路径未做平安隔离：允许恶意脚本直接保存在可施行目录下。
• 无二次验证机制：缺少针对已上传文件类型及内容的进一步检测。

示例漏洞代码片段：

if +$#i', trim)) {
    ShowMsg;
    exit;
}
$fullfilename = $cfg_basedir . $filename;

上述代码虽然尝试匹配凶险后缀， 但正则表达式存在缺陷，且未覆盖所有变种，加之其他环节验证不足，使得漏洞存在利用空间。

---

通过钩子修改media_add.php文件的方法

DedeCMS支持部分钩子机制， 允许开发者在核心代码之外插入自定义逻辑，以实现功能拓展或平安增强。针对media_add.php中的任意上传漏洞, 利用钩子方式修改能避免直接改动核心源码，从而提升维护便利性与升级兼容性。

什么是钩子？

钩子是指软件预留的一些接口或事件点， 开发者可以在这些位置挂载自定义函数，实现对程序流程的拦截、修改或 。

DedeCMS如何应用钩子修改upload流程？

• 分析media_add.php调用链：确认在接收并处理上传请求时哪些位置适合插入校验逻辑。
• 创建自定义插件或函数：利用DedeCMS提供的插件机制或者通过重写部分方法， 实现对上传文件名、类型和内容更严格判断。
• dede_hook机制使用：DedeCMS部分版本提供事件钩子支持， 可以注册回调函数，用于替换默认处理行为，比方说'OnFileUpload'.
• IDEDDE方式：If没有内置钩子，可采取间接方式，代码片段达到类似效果。

---

修复任意上传漏洞的具体步骤

步骤一：备份现有环境和media_add.php文件

重要提示：

• - 修改前务必完整备份原始/dede/media_add.php
• - 保证服务器权限与FTP工具可用， 以便出现问题时快速恢复系统正常运行状态

步骤二：定位upload核心校验代码位置

- 打开/dede/media_add.php

- 搜索含有“$fullfilename = $cfg_basedir.$filename;"语句附近，该处为到头来拼接物理路径位置，也是校验拦截点之一

步骤三：设计增强后的正则规则及校验逻辑

- 新增更严谨正则表达式，覆盖多种凶险后缀，包括常见变体和少见后缀；

// 严格限制PHP及多种脚本语言
名
$forbidden_exts = '/\.?|jsp|shtml?|sh?|exe)$/i';
if )) {
    ShowMsg;
    exit;
}

- 建议一边加入白名单机制，只允许特定图片/视频/文档格式如jpg/png/gif/mp4/pdf等进行上传；

步骤四：结合钩子技术封装校验逻辑

- 假设DedeCMS版本支持“OnFileUpload”钩子，可创建如下插件示例:

// 示例hook函数
function custom_file_upload_check {
    $forbidden_exts = '/\.?|jsp|shtml?|sh?|exe)$/i';
    if )) {
        return false;
    }
    return true;
}
// 注册hook
DedeHook::register;

步骤五：替换原始路径赋值并调用hook逻辑

$fullfilename = $cfg_basedir . $filename;
// 施行钩子检查
if ) {
   if ) {
       ShowMsg;
       exit;
   }
}
// 后续保存操作...
// 保存成功后输出提示
ShowMsg;
exit;

---

修改后的media_add.php示例片段解析与说明

*以下为示范性的核心修改区域，仅供参考*

---

修改后的media_add.php测试和验证方法

1. 基础功能测试——合法格式能否正常上传？

• - 上传符合白名单格式的图片或视频；应显示“成功”提示且能正常访问该资源；如果失败需查看错误日志定位问题。

2. 恶意格式测试——是否有效阻止非法 ？

• - 尝试上传含有.php/.asp/.jsp等凶险 名 或成图片但实际为脚本内容等攻击载体；应马上弹出禁止提示， 不保存到服务器；若绕过表示修复失败，应重新排查规则准确性与调用流程是否正确注入。

3. 文件内容检测——结合第三方工具扫描已存储资源是否带有木马病毒

• - 使用杀毒软件或者在线平安检测服务扫描服务器中uploads目录下的新建资源是否干净，有效防止隐藏恶意程序藏匿风险。

4. 日志审计 ——查看服务器访问日志及PHP错误日志是否有异常记录或相关拒绝消息。

• - 持续关注异常访问请求来源， 一旦发现大量恶意尝试应考虑进一步加固，比方说限速、防火墙策略加强等手段。一边建议定期备份数据以防万一 。

---

与平安建议

DedeCMS作为流行的网站管理平台，其早期版本因设计不完善导致了严重任意上传风险。本文基于"通过钩子技术",详细阐述了如何实现对/dede/media_add.php 文件中的关键点进行加固防护，从而杜绝WebShell植入威胁的方法。

• - 针对关键入口进行严密过滤， 是防范WebShell最根本措施之一；一边建议结合WAF、权限隔离等手段 。
• - 针对不同DedeCMS版本，请选择适合自身情况且官方认可的方法更新补丁。不要盲目应用未经验证补丁，以免引发兼容或功能异常 。

- 定期更新网站程序以及依赖组件，是保障整体站点健康的重要保障。

- 日志监控、异常告警不可忽视。一旦发现异常及时响应才能最大程度降低损失风险 。

- 开发部署阶段建议借助自动化扫描工具辅助识别潜在风险，不断完善平安策略 。

- 本文示范采用相对简洁易懂方案，有条件建议由专业人员实施综合加固方案。

---