phpcms v9 分类信息
编辑整理:整理来源:优酷,浏览量:73,时间:2023-03-15 23:15:02
前沿:phpcms v9 分类信息
补充知识:你上传错了吧,把YP文件夹(注意yp是一级文件夹,里面不能再有yp文件夹),然后上传到/phpcms/modules下面
引言
今天与大家分享的文章是关于审计思路的知识点,用到的是PHPcms的最新版本,因为常规扫描无法进入后台,所以我们修改了代码让扫描器爬虫爬到后台。
漏洞复现环境
安装PHPstudy
安装PHPcms9.6.3版本20170515
安装PHPCMS程序版本:PHPcms V9.6.3 Release 20170515
操作系统:WINNT
服务器软件:Apache/2.4.23 (Win32) OpSSL/1.0.2j PHP/5.4.45
MySQL 版本:5.5.53
上传文件:2M
安装上PHPcms9.6.3,删除管理后台的验证码的代码,主要涉及以下代码:
第一步
找到文件PHPcms\modules\admin\index.php
删除以下代码(第33行)
$code = isset($_POST['code']) && trim($_POST['code']) ?trim($_POST['code']) : showmessage(L('input_code'), HTTP_REFERER); if ($_SESSION['code'] != strtolower($code)) { $_SESSION['code'] = ''; showmessage(L('code_error'), HTTP_REFERER); }$_SESSION['code'] = '';第二步
找到文件:
PHPcms\modules\admin\templates\login.tpl.php
删除以下代码(第38行)
<label><?php echo L('security_code')?>:</label><inputname="code" type="text" onfocus="document.getElementByIdx_x('yzm').style.display='block'"/>删除以下代码(第39行)
<div > <?php echo form::checkcode('code_img')?><br /> <a href="javascript:document.getElementById('code_img').src='<?php echo SITE_PROTOCOL.SITE_URL.WEB_PATH;?>api.php?op=checkcode&m=admin&c=index&a=checkcode&time='+Math.random();void(0);"> <?php echo L('click_change_validate')?></a></div>使用avws登陆扫描让爬虫进后台
用户名为PHPcms PHPcms
跑了一段时间,发现有结果了。
pc_hash如果失效,就替换掉。
Poc
http://localhost//index.php?m=admin&c=index&a=login&pc_hash=K4KuIk&a=public_set_model&c=index&m=admin&site_model=%3Cscript%3Ealert(1)%3C/script%3E&time=0.-底部咨询-31849主要漏洞参数site_model
分析
WWW\phpcms\modules\admin\index.php
313-314行
public function public_set_model() { $model = $_GET['site_model']; if (!$model) { param::set_cookie('site_model',''); } else { $models = pc_base::load_config('model_config'); if (in_array($model, array_keys($models))) { param::set_cookie('site_model', $model); } else { param::set_cookie('site_model',''); } } $menudb = pc_base::load_model('menu_model'); $where = array('parentid'=>0,'display'=>1);site_model没做任何过滤。
以上是今天要分享的全部内容,大家学会了吗?
补充拓展:phpcms v9 分类信息
phpcms v9二次开发教程之联动搜索在房地产网站开发中的应用
开发简述:使用陆食述增都phpcms V9系统,修改源文件5个,创建模型:楼盘、出售、出租、中介、小区,增加联动菜单:楼盘,增加用户组:房产中介。
实现功能丝题:
游客发布信息、会员申请中介、楼盘全方位展示、报名团购、看房功能,发布信息时可根据登陆后的会员资料自动填好联系信何九游乱施晶院烈候含息,中介有自己的店铺,可给中介留言,联动筛选搜索、排序,房源对比功能。
联动筛选搜索功能的实现方法及代码:
要修改的文件就是list.html模板
核心代码:
<?php
$theurl = APP_P满具操委置块十ATH."ind划晚烈希轮星名席整ex.php?m=content&c=index&a=lists&catid=$catid";
$where = "status=99";
来自$orderby = "";
值食妒移析静年鸡还foreach ($_GET as $field => $r) {
if($r) {
if(!in_array($field,array('m',去能导标短'c','a','page'))){
if(strrpo创似免频料格s($field,'_')){
$arr=explode("-",$r);
$field = str_replace('_','乎次晶强足地史处',$field);
$where .= " AND $field >= '$arr[0]' AND $field <= '$arr[1]'";
}else if($field == 'title'刚观境密定略叶){
$where .= " AN谓点担款愿D $field LIKE "."'%".$r."%'";
量械演抗那杀信下}else if($field =整南没目没终东却你湖单= 'orderby'){
协龙费$orderby = str_replace('_',' ',$r);
}else{
$wher改年专别内e .= " AND $field='$r'";
}
}
设均损唱}
}
//if($where)$where = su凯食革时给式振bstr($where,5);
if(!$orderby)$orderby = "id desc";
?>
用这段代码来构造查询条件和排序方式,有了这段代码之后,要把list.htm获得列表的pc语句改造成析握示这样
原来的
{pc:content action="lists" catid="$catid" num="25" order="id DESC" page="$page"}
改造后的
{pc:content action="lists" where="$where" catid="$catid" num="25" order="$orderby" page="$page"}
使用的时候就比较麻烦了
<p><span>状态:</span><span><a href='{url_par("price_=$_GET[price_]&hstatus=& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>全部</a& amp; gt;</span>
<span {if $_GET[hstatus] == 1}class='shaixuan'{/if}><a href='{url_par("price_=$_GET[price_]&hstatus=1& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>新盘</a& amp; gt;</span>
<span {if $_GET[hstatus] == 2}class='shaixuan'{/if}><a href='{url_par("price_=$_GET[price_]&hstatus=2& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>在售</a& amp; gt;</span>
<span {if $_GET[hstatus] == 3}class='shaixuan'{/if}><a href='{url_par("price_=$_GET[price_]&hstatus=3& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>尾盘</a& amp; gt;</span>
<span {if $_GET[hstatus] == 4}class='shaixuan'{/if}><a href='{url_par("price_=$_GET[price_]&hstatus=4& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>售完</a& amp; gt;</span></p>
<p><span>均价:</span><span><a href='{url_par("price_=&hstatus=$_GET[hstatus]& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>全部</a& amp; gt;</span>
<span {if $_GET[price_] == '0-4000'}class='shaixuan'{/if}><a href='{url_par("price_=0-4000&hstatus=$_GET[hstatus]& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>4000以下& amp; lt;/a></span>
<span {if $_GET[price_] == '4000-5000'}class='shaixuan'{/if}><a href='{url_par("price_=4000-5000&typeid=$_GET[typeid]&hstatus=$_GET[hstatus]&address=$_GET[address]",$theurl)}'>4000-5000</a></span>
<span {if $_GET[price_] == '5000-6000'}class='shaixuan'{/if}><a href='{url_par("price_=5000-6000&hstatus=$_GET[hstatus]&typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>5000-6000</a></span>
<span {if $_GET[price_] == '6000-7000'}class='shaixuan'{/if}><a href='{url_par("price_=6000-7000&hstatus=$_GET[hstatus]&typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>6000-7000</a></span>
<span {if $_GET[price_] == '7000-8000'}class='shaixuan'{/if}><a href='{url_par("price_=7000-8000&hstatus=$_GET[hstatus]&typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>7000-8000</a></span>
<span {if $_GET[price_] == '8000-9000'}class='shaixuan'{/if}><a href='{url_par("price_=8000-9000&hstatus=$_GET[hstatus]&typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>8000-9000</a></span>
<span {if $_GET[price_] == '9000-10000'}class='shaixuan'{/if}><a href='{url_par("price_=9000-10000&hstatus=$_GET[hstatus]&typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>9000-10000</a></span>
<span {if $_GET[price_] == '10000-100000'}class='shaixuan'{/if}><a href='{url_par("price_=10000-100000&hstatus=$_GET[hstatus]& typeid=$_GET[typeid]&address=$_GET[address]",$theurl)}'>10000以上& amp; lt;/a></span>
</p>
<p><span>类型:</span><span><a href="{url_par("price_=$_GET[price_]&hstatus=$_GET[hstatus]& typeid=&address=$_GET[address]",$theurl)}">全部</a></span& amp; gt;
{pc:get sql="SELECT * FROM `v9house_type` where `module`='content'"}
{loop $data $key $val}
<span {if $_GET[typeid] == $val[typeid]}class='shaixuan'{/if}><a href="{url_par("price_=$_GET[price_]&hstatus=$_GET[hstatus]&typeid=$val[typeid]&address=$_GET[address]",$theurl)}">{$val[name]}</a></span>
{/loop}
{/pc}</p>
<p><span>地区:</span>
<span><a href="{url_par("price_=$_GET[price_]&hstatus=$_GET[hstatus]& typeid=$_GET[typeid]&address=",$theurl)}">全部</a></span& amp; gt;
{pc:get sql="SELECT linkageid,name FROM `v9house_linkage` where parentid=(SELECT linkageid FROM `v9house_linkage` where name='淄博市')"}
{loop $data $key $val}
<span {if $_GET[address] == $val[linkageid]}class='shaixuan'{/if}> <a href="{url_par("price_=$_GET[price_]&hstatus=$_GET[hstatus]&typeid=$_GET[typeid]&address=$val[linkageid]",$theurl)}">{$val[name]}</a></span>
{/loop}
{/pc}</p>
没办法,要想联动,就得每次都传递出所有需要联动的参数,所以url的参数部分就很多,容易晕掉~
获取搜索结果的代码是
共返回 {php echo count($data);} 个结果
放在
{pc:content action="lists" where="$where" catid="$catid" num="25" order="$orderby" page="$page"}
下面
loop
的上面
共返回 {php echo count($data);} 个结果
排序的参数也很麻烦
<a href='{url_par("price_=$_GET[price_]&area_=$_GET[area_]& shi=$_GET[shi]&typeid=$_GET[typeid]&address=$_GET[address]& orderby=area_desc",$theurl)}'>面积</a>
基本就这样了,希望有人能看懂
搜索表单也可以直接用在这里
给个例子
<form name="myform1" method="get" action="">
<input type="hidden" name="m" value="content">
<input type="hidden" name="c" value="index">
<input type="hidden" name="a" value="lists">
<span><select name="catid">
<option value="6">出售</option>
<option value="12">求购</option>
</select></span>
<span><select name="area_">
<option value="">面积不限</option>
<option value="0-50">小于50</option>
<option value="50-80">50到80</option>
<option value="80-120">80到120</option>
<option value="120-200">120到200</option>
<option value="200-10000">大于200</option>
</select></span>
<span><select name="shi">
<option value="">所有户型</option>
<option value="1">1室</option>
<option value="2">2室</option>
<option value="3">3室</option>
</select></span>
<span><input name="title" type="text" class="text4" style="width:60px;" /></span>
<span><input type="submit" value="" class="text3" /></span></form>