这是 酒仙桥六号部队 的第 26 篇文章。全文共计2033个字,预计阅读时长8分钟。之前审计发现的PbootCMS2.0.3前台RCE,看了最近的版本更新漏洞被修复了,就放出之前的POC顺便看看能不能绕过补丁。 项目地址:https://github.com/hnaoyun/PbootCMS PbootCMS自己实现了一个模板标签功能,在解析{pboot:i
如果不需要在文章下显示评论,到这里就结束啦。还可以多加几个隐藏字段,记录文章标题,文章URL,方便查看。
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS的漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS架构不是很熟
0x00 前言 目标站:http://www.xxxx.com/ Aspcms 拿后台就不说了,太多姿势了。 主要说下后台getshell(过云盾拦截) Aspcms2.0系列后台姿势也很多, 首
今天给各位分享cms系统套标签的知识,其中也会对进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
作者:冷思真 当今社会,人民群众已经有了很多发声渠道,但还有许多亟待表达的社会诉求。有没有一种渠道,可以向党政领导直接反馈问题呢? 这是人民的夙愿,也是党和政府所非常关心的。 今天带来的「地方领导留言板」,就是帮助大家更好地与党和政府表达想法、反映问题的小程序。 留言板:我的疑惑,你的解惑 在 2006 年,人民网开通了「地方领导留言板」,供广大网民群众向省、市、县三级领导干部反映问题、提出建议。12 年来,先后有 60 位省委书记、省长,2500 位各地「党政」一把手公开回复网民留言,百万网民参与其中。
WordPress 酷炫 CSS3 读者墙这个玩意一般不用我多说,大部分用 WordPress 的博主都了解过了,出自折子戏博客。 不过他这个读者墙的排行是按年度划分的,也就是一年内的留言数排行。为了
今天又要用到PHPCMS的判断来实现循环列表中,每5行进行一次分割。方法是在循环内加上,{php num++},然后用if语句判断, num%5==0 意思是变量num除以5的余数为0,即num必须是5的倍数,完整代码如下
前言 在开启严肃认真的知识分享前,斗哥跟大家说一件严肃的事儿!本周日是一年一度的母亲节!无论你身处他乡还是奔波忙碌,别忘了给亲爱的母上大人送上节日的祝福,家永远是避风的港湾。好啦!煽情结束! 本周斗哥给大家带来了4月份爆出phpcms v9.6.0的漏洞之一,允许上传任意文件,可直接利用该漏洞getShell,这个漏洞利用过程还是比较简单和直接的,接下来复现下这个漏洞。 基础环境 1.phpcms_v9.6.0源码。 2.web应用环境用于搭建phpcms。 3.web应用服务器用于下载木马文件。 需
以上标签首页不能调用,分类页和文章页都可以。从某种意义上讲 CAT = CATEGORYS[catid] 但是CATEGORYS是二维数组,可以在任意位置调用。可以看下 CATEGORYS栏目数组面包屑导航{catpos(catid)} 当前位置,在首页什么都不显示,在栏目页和文章页会显示所在栏目层级。一般都这么用
本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
使用 hexo 推荐选择一款自己喜欢的主题,主题带有一些额外的功能适配,不需要自己去做,比如评论、友链、访问统计。可以浏览官方网站来选择自己喜欢的主题:https://hexo.io/themes/。
留言让博客看起来更加的人性化 NexT 主题官网有给出添加标签页、分类页的方法,其实添加留言本的方式异曲同工。方式稍微会有一点不同。
参考:https://blog.csdn.net/u012914342/article/details/113518097
陌陌这次步子有点大,6.0上线之后不少用户都在陌陌留言板吐槽,新版本几乎认不出来了,更有用户愤怒地表示“我再也不用了”,因为人们最习以为常的“附近的脸”这个首页被移到二级标签页,这个功能从2011年起就是陌陌的核心功能,它给陌陌贴上了“本地陌生异性社交”的标签,更直接的说法是“搭讪”或者“约炮”神器。陌陌在上市前后已在摆脱这样的标签,先后推出陌陌群组、陌陌吧尝试兴趣社交。约炮、去约炮标签是陌陌经历的两个阶段。现在,唐岩要把陌陌推到第三个阶段,在我看来就是要连接熟悉的陌生人。 与荷尔蒙社交渐行渐远 中国男人
随着互联网及web应用技术的蓬勃发展,如今企业建站已不像过去那样开发维护成本高,需要专门找人定制开发,这些都得益于各种CMS建站系统层出不穷。经常在网上看见有人问及”哪个CMS系统最好”、”企业网站制作用哪个CMS系统适合”等类似问题,所以本文将和大家一起分享当前最主流的CMS建站系统。
打算做一个请假管理OA项目Demo,后端采用renren-fast框架,后台管理系统采用renren-fast_vue_master项目,打算利用renren-fast-vue-master改造成一个简单的请假管理系统,包含注册、登陆、请假流程查看等等简单的展示即可,由于之前没做过Vue,现简单地介绍下项目目录结构:
我一篇衔接用Hexo搭建个人博客网站,主要解决遗留的问题,因为哪一篇太长了,放在一起不好看。
虽然博客取消了文章页面评论,仅剩下留言板的评论,但张戈还是要尽力做到尽善尽美,将用户体验做到极致!在防止垃圾评论的同时,尽量让评论变得更加简单快捷。 于是就想到了很早之前就很眼馋的滑动解锁功能,可惜那
PHPCMS和织梦CMS自带的编辑器都是ckeditor,但是默认情况下,这2个程序中编辑文章时,按下回车键后在源代码显示的是BR而非P,对于习惯于换行为P标签的我来说极为不便。 PHPCMS编辑器ckeditor设置回车换行BR为段落P,只需要打开staticsjsckeditorconfig.js 搜索 config.enterMode 找到如下代码
2017年4月份左右PHPCMS V9.6被曝出注册页面存在任意文件上传漏洞,通过该漏洞攻击者可以在未授权的情况下上传任意文件,甚至getshell
关键字keywords标签对各大搜索引擎的作用无足轻重,反而一个定义不好却有可能造成降权。 PHPCMS中当文章中不设置关键字时,keywords标签默认调用站点关键字,其实很多文章的内容跟站点关键字一点也不相关,写了不想关的关键字还不如不写。 打开 /phpcms/libs/functions/global.func.php 查找
现在很多人都想制作一个个人博客,前端html静态页面,免费的很多,但是拿到一个静态页面,自己并不知道怎么用。你可以选择下载免费的博客程序源码,或者cms。这些开源的博客程序源码,都是经过很多次版本测试的,都有固定的使用人群。我所知道的主流的博客程序有,Z-blog,Emlog,WordPress,Typecho等,免费的cms系统有,织梦cms(dedecms),phpcms,帝国cms(EmpireCMS)等。这些都是开源免费的程序,用它们来做一个个人博客网站,是可以的。 很多新手站长不知道该如何选择合适的博客程序源码来搭建自己的个人独立博客,主要原因还是不太了解这些博客程序的特点。这些博客程序都有它的使用教程,如果你有足够的时间,可以选择去学习。 我相信很多站长,都使用过以上的博客程序源码。我先来简单说说,我在使用这些博客程序源码的一个体验感受: 1、Z-Blog。Z-blog博客程序的特点在于它有asp,php两个版本,有可选择性,页面静态化做得比较好,有利于SEO优化。但Z-blog目前提供的不少主题模板和插件是收费的,而且主题不是很多。 2、Emlog。Emlog(点滴记忆),程序大小只有500KB左右。它的特点就是源程序文件非常小。Emlog的基本功能比较简单,对于做一个简单的博客来说足够。不够完美的地方在于,Emlog不能html静态化,支持的是伪静态。 3、WordPress。相比较前两个来说,WordPress的人气应该是最高的,WordPress的博客主题很多,免费的,付费的,更新也快。WordPress程序依托的是插件和主题,作为国际性开源程序,它的功能非常强大。美中不足的地方在于,它的插件多,网站速度加载会比较慢。 4、织梦cms(dedecms)。最新版本V5.7SP2正式版,更新时间:2018年01月09日。dedecms采用PHP+MySQL的技术架构,个人站长用得也比较多,因为它上手快,标签好调用,对于想做资讯网站的站长来说,简单看看教程,也能在短时间学会。dedecms是完全开源的,不足的地方在于,漏洞很多,网站时不时被攻击挂马。 5、PHPCMS。最新版 V9.6.3 ,更新时间:2017年05月15日。使用的MVC模式编程,模块化的设计,非常适合网站的二次开发,从后台的美观度来说,PHPCMS V9的后台界面最为美观,操作也简单。我记得dede和帝国cms还在用table的时候,phpcms开发模板用的是div+css,界面好看布局又合理。就扩展性来说,不是很好,v9之后,就不再更新了。 6、帝国cms。从安全性来说,帝国CMS,PHPCMS的安全性高,没有什么漏洞,帝国cms页面静态化,利于优化,而且扩展性很好,适合做二次开发。但从美观度来说,帝国cms不重视这些,甚至很多都是table布局。之前我写过一篇文章,《个人博客,我为什么要用帝国cms?》,也是在使用了以上这些博客程序源码后写的一个总结,兜兜转转,最后还是使用了帝国cms,作为我的博客程序。 以上这些,仅属于个人观点,每个程序都有它的优缺点,选择什么样的程序源码,看个人的需求和爱好。比如,有程序基础的,喜欢易于开发和灵活性强的,可以选择帝国cms。喜欢漂亮的,后台易于操作的,想经常换主题的,可以选择wordpress,总的来说,根据个人的情况来选择,选适合自己的,慢慢熟悉系统。
XSS攻击全称跨站脚本攻击(Cross Site Scripting),是为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供其他用户使用的页面中。
PageAdmin是一套很不错的网站内容管理系统,也是国内最知名的net网站管理系统之一,功能强大、安全稳定,是许多大型门户网站建设解决方案之一,其基于.Net Mvc的技术开发,具有很高的灵活性及易用性。
一些比较重要的文章我们通常会设置为推荐,但是即使都是推荐的文章,也分重要程度的,如何把最重要的放到第一,把相对不重要的排序到后面呢? 首先来看下我写的推荐位文章列表代码
用ASP+access+FrontPage实现留言板有几种方法??只需要写出简单思路,.
自2018年3月之后开通的微信公众号都没有留言功能,所以具有留言功能的微信公众号显得格外贵重。具有留言功能的微信公众号可以与粉丝互动,增加粉丝的粘性。
一、网站通用标签 1、基本标签 {aspcms:sitepath} 网站终极目录(可放在二级目录,其它语言则在三级目录) {aspcms:languagepath} 语言目录 {aspcms:siteurl} 网站地址 {aspcms:sitelogo} LOGO地址 {aspcms:sitetitle} 网站标题 {aspcms:additiontitle} 网站附加标题 {aspcms:sitekeywords} 网站关键词 {aspcms:sitedesc} 网站描述 {aspcms:defaulttemplate} 默认模板 {aspcms:companyname} 公司名称 {aspcms:companyaddress} 公司地址 {aspcms:companypostcode} 邮政编码 {aspcms:companycontact} 联系人 {aspcms:companyphone} 电话号码 {aspcms:companymobile} 手机号码 {aspcms:companyfax} 公司传真 {aspcms:companyemail} 电子邮箱 {aspcms:companyicp} 备案号 {aspcms:statisticalcode} 统计代码 {aspcms:copyright} 网站版权 {aspcms:username} 当前登陆用户 {aspcms:userright} 用户权限,用户权限的读取0为超级管理员,1为注册用户,2为游民 {label:**} 自定义标签 {aspcms:onlineservice} 在线客服 {aspcms:kf} 其它客服系统 {aspcms:floatad} 漂浮广告 {aspcms:coupletad} 对联广告 {aspcms:windowad} 弹出广告 {aspcms:onekeyshare} 在文章中可调用一键分享 {visits:today} 今日统计标签 {visits:yesterday} 昨日统计标签 {visits:month} 本月统计标签 {visits:all} 全部统计标签 {aspcms:version} 程序版本信息 {aspcms:versionid} 程序版本号 2、模板引用 {aspcms:top} 顶部模板 {aspcms:head} 头部模板 {aspcms:comm} 公共模板 {aspcms:left} 左侧模板 {aspcms:foot} 尾部模板 {aspcms:template src=XXX.html} 其它模板 3、无限级菜单 {aspcms:navlist num=5} num为调用数量 [navlist:i] 计数 [navlist:num] 栏目下的内容数量 [navlist:name] 名称 [navlist:enname] 英文名称 [navlist:link] 链接 [navlist:sortid] 栏目ID [navlist:subcount] 子栏目数量 [navlist:desc] 栏目描述 [navlist:pic] 对应后台栏目缩略图 [navlist:ico] 对应后台栏目图片 [navlist:cursortid] 当前栏目ID号 {/aspcms:navlist} 4、幻灯片调用 1)内置样式: {aspcms:slide}/{aspcms:slidea} 调用幻灯片A {aspcms:slideb} 调用幻灯片B {aspcms:slidec} 调用幻灯片C {aspcms:slided} 调用幻灯片D 2)自定义样式 {aspcms:slidelist id=*} [slidelist:i] 编号 [slidelist:link] 点击链接 [slidelist:pic] 图片地址 [slidelist:title] 文字描述 {/aspcms:slidelist} id= (为1,2,3,4对应后台的4个幻灯片,不填写,默认为第一个幻灯片) 5、常用调用举例 1)默认模板路径 {aspcms:sitepath}/templates/{aspcms:defaulttemplate}/ 2)首页头部 <title>{aspcms:sitetitle}{aspcms:additiontitle}</title> <meta name=”Keywords” content=”{aspcms:sitekeywords}” /> <meta name=”Description” content=”{aspcms:sitedesc}” /> 3)单页头部 <title>[about:title]-{aspcms:sitetitl
PHPCMS V9的get标签非常好用,只要做几个自定义模型get几乎变成万能的了。但是PHPCMS升级到V9后,把2008的很多功能都去掉了,比如get标签中,在后面自动添加了一个LIMIT 0,20,这样你即使写了num=’数字’也没用,写在SQL语句里面,例如
categories 页是用来展示所有分类的页面,如果在你的博客 source 目录下还没有 categories/index.md 文件,那么你就需要新建一个,命令如下:
SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受黑客的攻击,关于这次发现的phpcms漏洞细节以及如何利用提权我们来详细剖析。
随着网民规模的不断扩大,互联网不仅是传统媒体和生活方式的补充,也是民意凸显的地带。领导干部参与网络问政的制度化正在成为一种发展趋势,这种趋势与互联网发展的时代需求是分不开的 ( 点击文末“阅读原文”获取完整代码数据******** )。
随着网民规模的不断扩大,互联网不仅是传统媒体和生活方式的补充,也是民意凸显的地带。领导干部参与网络问政的制度化正在成为一种发展趋势,这种趋势与互联网发展的时代需求是分不开的
phpcms调用子栏目名称相对比较简单一些,也是用{pc:content}来调用,只是把action设置为category,catid如果为0的话是调用所有一级栏目,如果是其他数字的话,则调用相应栏目的子栏目,比如以下的案例,catid="13"是调用栏目id为13的所有子栏目。完整的调用代码在下面,感兴趣的朋友可以测试一下 {pc:content action="category" catid="13" num="25" siteid="$siteid" order="listorder ASC"
跟着书学的,代码不是自己写的,但是都能理解,有时间自己去写个好看一点的吼吼吼~(不熟练花了一天的时间…
留言板作为访客留下足迹的地方,多数网站都会设置一个单独的页面作为留言板。当然emlog也是支持的,而且实现它非常简单
PHPCMS系统内定义了一个很段的函数:go(),因为太短,这个go函数很容易和其他代码内的函数重名,我遇到的是swoole内也有go函数,所以当PHPCMS遇到swoole,就会出现如下提示:
在众多CMS系统中,为什么我偏偏选中了 PHPCMS 而不去选择使用人数最多的织梦CMS,也没有选择论坛人气很高的帝国CMS,更没有选择其他诸如齐博,DESTOON等CMS。
支持到PHPCMS V9.1.18 前段时间由于结婚,耽搁了ueditor 1.2.2的整合,实在抱歉。最近几天熬夜整合了ueditor 1.2.3,依然是亮点与BUG同样闪耀的ueditor,依然是深度整合PHPCMS V9。 ueditor官方网站:http://ueditor.baidu.com/ ueditor在线演示:http://ueditor.baidu.com/website/onlinedemo.html PHPCMS 官方网站:http://www.phpcms.cn/ 注意:所有文件都是utf-8编码,gbk编码的同学需要自行转换编码。 感谢aqstudio同学进行gbk转码,gbk编码的同学请移步:http://bbs.phpcms.cn/thread-697394-1-1.html 下载方式依然在最后! 2012年12月14日9时30分:修复前台会员中心投稿和黄页中上传页面显示问题(前台会员中心投稿要使用上传功能,需在后台“用户”》“管理会员组”中为相关用户组设置“允许上传附件”)。 2012年9月22日21时30分:修复抓取多个远传图片后所有图片均显示为第一个图片的问题。感谢水影(QQ:506883601)反馈BUG。(涉及文件:ueditor.php) 2012年9月13日23时20分:修复图片上传后在附件表中图片记录的status的状态为“0”的问题,修复图片上传后图片名(filename)的后缀名重复的问题。感谢DON(QQ:313959887)反馈BUG。(涉及文件:attachment.class.php,ueditor.php,wordimage.tpl.php,wordimage.tpl.php,editor_all.js,scrawl.js) 2012年9月4日16时30分:修复子标题对话框不能显示的BUG。 2012年9月4日0时30分:整合ueditor1.2.3,新增图片上传水印控制、涂鸦、远程图片抓取、word图片转存等功能,修复PHPCMS V9后台管理启用二级域名引发的JS跨域问题,改进子标题显示。感谢遥望(QQ:1239523)反馈修改意见。 2012年7月9日22时10分:由于最近准备婚礼,ueditor1.2.2整合只能推迟了,非常抱歉,敬请谅解! 2012年6月9日16时20分:修复staticsjsueditordialogsimageimage.js中ueditor路径调用错误的BUG(造成前台、黄页或者其他位置上传图片时flash上传组件不能显示) 2012年6月2日22时50分:ueditor升级到1.2.1版本,新增了对远程抓取图片功能的整合(由于ueditor1.2.1改动较大,整合花了点时间,放出的晚了,请见谅,IE6下未测试,请用IE6的朋友帮忙测试一下) 2012年4月8日14时30分:感谢 “名湖(QQ:52061009)”帮助修改完善ueditor初始化代码和数据校验代码,修正编辑器z-index的问题,向名湖致敬! 2012年4月7日晚9时:修正由于window.onload冲突而引起在谷歌浏览器下添加和修改新闻时提示“[hash]数据验证失败”的BUG。 主要功能: 1.为ueditor添加PHPCMS V9子标题插件 2.图片上传采用ueditor的默认上传插件 3.附件上传采用PHPCMS V9的附件上传 4.上传路径采用PHPCMS V9的默认目录模式 5.修正了PHPCMS V9 未使用附件列表中没有文件名的一个小BUG 6.实现远程图片抓取功能 7.整合ueditor涂鸦功能 8.整合ueditor word图片转存功能 9.修复PHPCMS V9后台管理启用二级域名而引发的JS跨域问题 10.支持前台用户投稿和黄页新闻发布 上图片:
0x00 背景 最近做代码审计的时候发现phpcms 有更新,现在漏洞详情基本不公开,想要知道漏洞的利用方法只能自己审计了,通常可进行新旧版本的代码比较了,来定位旧版本的漏洞位置,便下载了phpcms 9.6.3与phpcms 9.6.1 和phpcms 9.6.2的源码进行比较和审计,发现phpcms 9.6.2 中存在任意文件下载补丁绕过和前台SQL注入,便撰写了本文做个记录,期待和师傅们的各种交流和讨论。 0x01 任意文件下载补丁绕过 对比phpcms 9.6.2 版本与phpcms 9.6.1
Vue是一个MVVM(Model / View / ViewModel)的前端框架,相对于Angular来说简单、易学上手快,近两年也也别流行,发展速度较快,已经超越Angular了。比较适用于移动端,轻量级的框架,文件小,运行速度快。最近,闲来无事,所以学习一下Vue这个流行的框架,以备后用。
今天给公司写模版的时候,留言板有个需求 统计留言总数 原理是标签调用了sql数据,官方文档对sql标签的介绍也很少,所以导致很多人不会使用。下面是调用代码 {pboot:sql sql="select count(id) as total from ay_message"} 已有[sql:total]+投资者提交需求 {/pboot:sql} 到这里就完成了网站留言总数统计。 📷
今天给公司写模版的时候,留言板有个需求 统计留言总数 原理是标签调用了sql数据,官方文档对sql标签的介绍也很少,所以导致很多人不会使用。下面是调用代码 {pboot:sql sql="select count(id) as total from ay_message"} 已有[sql:total]+投资者提交需求 {/pboot:sql} 到这里就完成了网站留言总数统计。
前面咱们一起学习了phpcms_v9.6.0,任意文件上传漏洞复现的过程,不知道小伙伴们后面有没有想到如何进行批量检测呢?我尝试写了个Python脚本,这里要感谢下小建建的API,哈哈,感觉效果还不错;欢迎写好Python的小伙伴们和我一起交流呀! 创作背景: 上周发完phpcms_v9.6.0,任意文件上传漏洞复现的过程的文章后,有小伙伴们说phpcms_v9.6.1的任意文件下载一直复现不成功,于是就有了本文。 基础环境: 1、 phpcms_v9.6.1源码。 2、 web应用环境用于搭建php
话不多说,任何一门技术从入门到熟悉,找项目来练手,着手做项目是一个必不可少的过程,找了很多项目进行参考,各种类型的源码看下来,就没有什么难倒你的了。
PHPCMS是采用MVC设计模式开发,基于模块和操作的方式进行访问,采用单一入口模式进行项目部署和访问,无论访问任何一个模块或者功能,只有一个统一的入口。
领取专属 10元无门槛券
手把手带您无忧上云