phpcms手机站伪静态后您要查看的信息不存在或者还未通过审批!
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了phpcms手机站伪静态后您要查看的信息不存在或者还未通过审批!相关的知识,希望对你有一定的参考价值。
按照网上教程做的。然后就出现了:您要查看的信息不存在或者还未通过审批!大神帮忙来解决了。高分求教。
我的伪静态规则
帮帮忙啦。
phpcms9.6.3
造就开了,栏目页绑定了,没有伪静态的时候,手机版显示是正常的。
【墨者学院】:CMS系统漏洞分析溯源(第2题)
参考技术A 背景介绍某单位需新上线了一个系统,安全工程师“墨者”负责对系统的安全检测,确保该系统在上线后不存在安全漏洞。
实训目标
1、了解并熟练使用linux命令;
2、了解PHPCMS的后台地址及其他相关漏洞资料;
3、了解html源码的重要性。
解题方向
登录后台后执行linux系统命令,查看web源码。
靶场环境:可以看到使用了phpcms9.1.13版本的内容管理系统。
在网上可以找到,默认的后台登录地址为/admin.php,其实在robots.txt文件中也能够看到,应该养成查看robots.txt文件的习惯,里面还是有一些有用的信息的。
打开admin.php链接,发现用户和密码都是已经默认填好的,所以直接登录到后台管理里面去。
在网上看到有三种方法:第一种,使用拓展里面的木马查杀进行key文件的查找,但是我没有查到;第二种是利用远程命令执行的方法来进行目录的查看;第三种是在界面的模板里面写入一句话,再getshell。
第一种:phpcms后台低权限任意命令执行。
这个漏洞是在乌云中发布出来的,编号为WooYun-2015-0153630,具体的漏洞分析见: https://www.uedbox.com/post/15860/ 。
利用的POC是:index.php?0=[命令]&m=content&c=content&a=public_categorys&type=add&menuid=822;$system($_GET[0])&pc_hash=vad6K3&from=block
先ls查看目录,再查看key.txt文件即可。
第二种:一句话木马写入。
上面的方法只是查看目录文件,并没有拿到网站的权限。写入一句话,再用蚁剑来进行连接,然后拿权限,这种方法才是比较通用的。
在界面中的index.html文件中写入一句话,然后按index.php?m=search连接。虽然网上都可,但是不知道为啥我的蚁剑返回数据为空,失败……
1.phpcms的这个后台低权限命令执行漏洞,不太清楚具体适用于哪些版本,可以先记着,这个一个渗透点。
2.一般进入了cms后台管理,通用的方法就是找模板,写入一句话,连接,上传大马。
以上是关于phpcms手机站伪静态后您要查看的信息不存在或者还未通过审批!的主要内容,如果未能解决你的问题,请参考以下文章
SEO工具箱:PHP自动生成PHPCMS伪静态规则.htaccess