《2021年横刀植入拿下PHPCMS网站管理系统网站安全电脑资料》由会员分享,可在线阅读,更多相关《2021年横刀植入拿下PHPCMS网站管理系统网站安全电脑资料(2页珍藏版)》请在金锄头文库上搜索。
1、横刀植入拿下Phpcms网站管理系统网站安全电脑资料 Phpcms网站系统,是一个基于PHP+MYSQL平台生成html的建站系统,它以安全、高效、占用资源少、负载能力强等特点,深受各类行业网站站长的喜爱, 首先利用百度或者Google两个强大搜索引擎站点,找到使用Phpcms平台管理系统的任意网站后,打开系统第三方工具“phpcms0dayEXP”客户端程序(图1)。 在得知数据库所使用的版本后,我们单击“第一步获取管理员名”按钮,在等其后面栏所显示出获取的账号名后,在单击“第二步获取管理员密码”按钮,此时软件会对应显示的管理员账号,来获取其密码(图3)。不过有时这个密码会被MD5加密过,因
2、此遇到这种情况,我们需要单击后面“反查MD5值”按钮,或者进入.cmd5.解密网站,将获取到的MD5值输入后,进行解密即可得到明文密码, 现在我们已经获取了网站后台的管理员账号和密码,接下来只要找到后台地址进行,就可操控该网站了。默认情况下网站后台地址为.xxx.admin.php,那么顾名思义这里笔者所要入侵的网站后台地址就为.ztchy./admin.php,进入该后台地址,将刚才获取的管理员账号和密码分别输入后,单击“”按钮,便可轻松进入到其网站的管理后台。接着为了扩大战果,我们在后台依次单击“系统设置”“在线文件管理器”选项,然后在“上传文件”标签后面,单击“浏览”按钮,在本地随便找个PHP木马后,单击“上传”按钮,就可将其后门马上传到网站服务器上(图4)。 如果你想查看上传上去的后门木马,可以在网站地址后面加上木马的名字及其扩展名,这里笔者上传的后门地址就为.ztchy./php.php,打开该地址进入后,我们就没有任何限制的操控网站了(图5)。 最后笔者提示,还在使用Phpcms xxSP5 SP6网站管理系统的站长们,对于其注入漏洞的防御,请到soft.phpcms./xx/0308/soft_144.html地址处下载安全补丁,以免被不法份子所入侵,后果将不堪设想。 模板,内容仅供参考