phpcms手机站伪静态后您要查看的信息不存在或者还未通过审批!

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了phpcms手机站伪静态后您要查看的信息不存在或者还未通过审批!相关的知识,希望对你有一定的参考价值。

按照网上教程做的。然后就出现了:您要查看的信息不存在或者还未通过审批!大神帮忙来解决了。高分求教。
我的伪静态规则

帮帮忙啦。
phpcms9.6.3

参考技术A

追问

造就开了,栏目页绑定了,没有伪静态的时候,手机版显示是正常的。

【墨者学院】:CMS系统漏洞分析溯源(第2题)

参考技术A 背景介绍

某单位需新上线了一个系统,安全工程师“墨者”负责对系统的安全检测,确保该系统在上线后不存在安全漏洞。

实训目标

1、了解并熟练使用linux命令;

2、了解PHPCMS的后台地址及其他相关漏洞资料;

3、了解html源码的重要性。

解题方向

登录后台后执行linux系统命令,查看web源码。

靶场环境:可以看到使用了phpcms9.1.13版本的内容管理系统。

在网上可以找到,默认的后台登录地址为/admin.php,其实在robots.txt文件中也能够看到,应该养成查看robots.txt文件的习惯,里面还是有一些有用的信息的。

打开admin.php链接,发现用户和密码都是已经默认填好的,所以直接登录到后台管理里面去。

在网上看到有三种方法:第一种,使用拓展里面的木马查杀进行key文件的查找,但是我没有查到;第二种是利用远程命令执行的方法来进行目录的查看;第三种是在界面的模板里面写入一句话,再getshell。

第一种:phpcms后台低权限任意命令执行。

这个漏洞是在乌云中发布出来的,编号为WooYun-2015-0153630,具体的漏洞分析见: https://www.uedbox.com/post/15860/ 。

利用的POC是:index.php?0=[命令]&m=content&c=content&a=public_categorys&type=add&menuid=822;$system($_GET[0])&pc_hash=vad6K3&from=block

先ls查看目录,再查看key.txt文件即可。

第二种:一句话木马写入。

上面的方法只是查看目录文件,并没有拿到网站的权限。写入一句话,再用蚁剑来进行连接,然后拿权限,这种方法才是比较通用的。

在界面中的index.html文件中写入一句话,然后按index.php?m=search连接。虽然网上都可,但是不知道为啥我的蚁剑返回数据为空,失败……

1.phpcms的这个后台低权限命令执行漏洞,不太清楚具体适用于哪些版本,可以先记着,这个一个渗透点。

2.一般进入了cms后台管理,通用的方法就是找模板,写入一句话,连接,上传大马。

以上是关于phpcms手机站伪静态后您要查看的信息不存在或者还未通过审批!的主要内容,如果未能解决你的问题,请参考以下文章

PHPCMS手机插件把手机跟PC一样静态的办法

phpcms怎么生成静态网站

SEO工具箱:PHP自动生成PHPCMS伪静态规则.htaccess

PHPCMS手机门户添加单页

dede cms分页显示有问题 生成的静态页面已经有上一页下一页 但是查看页面就显示不出来,只显示共有多少页

为啥PHPcms网站后台添加单网页访问时却是网站首页?