分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow
也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!
碰到了cms,之前一直没有真正的分析过,趁着没事干准备复现一个seacms的漏洞复现,但是经过一系列的苦痛挣扎发现—–搭个环境神特么难…一开始我想用ubuntu直接搭建,但是我用的是php7,而各大seacms的安装指南上说…
===必读提示===-------------------------------------【1】自适应模板不支持IE6/7/8古董浏览器,会发生错误。国内双核浏览器的兼容模式一般是ie7内核。老版本默认模板可以登录官网单独下载。【2】默认模板首页幻灯片设置办法:五星推荐视频 + 视频的幻灯图片【3】php7环境下,模板报500错误的解决办法:php7环境下判断字符为空时,部分情况下需要用引号。例如:if:"[videolist:state]"==""
- 1
- 2
- 3
- 4
- 5
- 6
- 7
锤子啊!例如?没有具体教程你让我怎么改…然后挣扎半天,也不想换php版本了,利用原来的虚拟机搞了一发…
环境windows7 x86 + wamp神器,下面讲讲具体过程吧
一、环境搭建
为什么选择wamp,确实太方便了,都是高度集成的,非常好用,php的还可以切换版本,方便至极。下面是搭建过程
1.安装wamp的依赖项
环境搭建需要费一番手脚,因为windows7 本身在安装wamp的时候会缺少两个库,首先我们需要下载两个wamp依赖的项vcredist_x86.exe和vcruntime140.dll。注意,这一步要在装wamp之前!
vcredist_x86.exe下载
vcruntime140.dll下载
2.安装wamp
直接从百度上下载wamp,安装即可。这个没什么技术含量吧~
安装好之后,假如默认安装在C盘上,注意网页的根目录在C://wamp/www/
目录下嗯。装好了以后具体可以根据自己的喜好做调整,这里不讲了。自行测试环境。
3.安装Seacms v6.45
在这里我安装的是Seacms v6.45,确保漏洞可以利用嗯
Seacms v6.45下载地址
解压之后将upload文件放在C://wamp/www/
目录下嗯,这里我把文件名字改了一下,改成了。访问http://localhost/seacms_upload/
准备安装
wamp中root的密码是空的,管理员的帐号密码可以自己设置,网站设置不需要动,因为我们是本地搭建嘛,然后进行安装,很快会提醒如下:
然后我们验证一下吧!直接win7点击访问首页或者访问后台验证也可以,我们这里配置一下环境使其能在局域网中访问。
4.配置环境使局域网可以访问
虚拟机使用网桥连接
win7虚拟机地址 :192.168.200.110ubuntu攻击机地址:192.168.200.107
- 1
- 2
在虚拟机中需要更改访问权限
(1)在wamp小图标中apache>httpd.conf
修改Listen端口,搜索Listen,将默认的80端口修改,这里我修改成了2333端口
(2)在wamp小图标中apache>httpd_vhosts.conf
修改端口成2333端口,然后我们在下面能看到一个Require local,将它改成Require all granted
修改后如下:
(3)设置的防火墙
有可能会存在防火墙将外网访问给杀了的,需要修改一下,具体的过程参考如下链接吧~
https://zhidao.baidu.com/question/322889649.html
从ubuntu中的浏览器访问后台登录界面
http://192.168.200.110:2333/seacms_upload/index.php
- 1
访问
http://192.168.200.110:2333/seacms_upload/admin/login.php?gotopage=/seacms_upload/admin/
- 1
输入帐号密码登录
可以看到访问成功啦,这下环境就都搭建好了!
二、漏洞分析
网上的讲解很多了,漏洞的初始接口在./search.php文件中,打开该文件,漏洞代码在212行的代码中,而关键代码就是211-213这3行过滤条件