1.在站点跟目录新建一个目录,目录名自定,例如manage,这个manage目录就是今后你登陆后台需要访问路径。
支持到PHPCMS V9.1.18 前段时间由于结婚,耽搁了ueditor 1.2.2的整合,实在抱歉。最近几天熬夜整合了ueditor 1.2.3,依然是亮点与BUG同样闪耀的ueditor,依然是深度整合PHPCMS V9。 ueditor官方网站:http://ueditor.baidu.com/ ueditor在线演示:http://ueditor.baidu.com/website/onlinedemo.html PHPCMS 官方网站:http://www.phpcms.cn/ 注意:所有文件都是utf-8编码,gbk编码的同学需要自行转换编码。 感谢aqstudio同学进行gbk转码,gbk编码的同学请移步:http://bbs.phpcms.cn/thread-697394-1-1.html 下载方式依然在最后! 2012年12月14日9时30分:修复前台会员中心投稿和黄页中上传页面显示问题(前台会员中心投稿要使用上传功能,需在后台“用户”》“管理会员组”中为相关用户组设置“允许上传附件”)。 2012年9月22日21时30分:修复抓取多个远传图片后所有图片均显示为第一个图片的问题。感谢水影(QQ:506883601)反馈BUG。(涉及文件:ueditor.php) 2012年9月13日23时20分:修复图片上传后在附件表中图片记录的status的状态为“0”的问题,修复图片上传后图片名(filename)的后缀名重复的问题。感谢DON(QQ:313959887)反馈BUG。(涉及文件:attachment.class.php,ueditor.php,wordimage.tpl.php,wordimage.tpl.php,editor_all.js,scrawl.js) 2012年9月4日16时30分:修复子标题对话框不能显示的BUG。 2012年9月4日0时30分:整合ueditor1.2.3,新增图片上传水印控制、涂鸦、远程图片抓取、word图片转存等功能,修复PHPCMS V9后台管理启用二级域名引发的JS跨域问题,改进子标题显示。感谢遥望(QQ:1239523)反馈修改意见。 2012年7月9日22时10分:由于最近准备婚礼,ueditor1.2.2整合只能推迟了,非常抱歉,敬请谅解! 2012年6月9日16时20分:修复staticsjsueditordialogsimageimage.js中ueditor路径调用错误的BUG(造成前台、黄页或者其他位置上传图片时flash上传组件不能显示) 2012年6月2日22时50分:ueditor升级到1.2.1版本,新增了对远程抓取图片功能的整合(由于ueditor1.2.1改动较大,整合花了点时间,放出的晚了,请见谅,IE6下未测试,请用IE6的朋友帮忙测试一下) 2012年4月8日14时30分:感谢 “名湖(QQ:52061009)”帮助修改完善ueditor初始化代码和数据校验代码,修正编辑器z-index的问题,向名湖致敬! 2012年4月7日晚9时:修正由于window.onload冲突而引起在谷歌浏览器下添加和修改新闻时提示“[hash]数据验证失败”的BUG。 主要功能: 1.为ueditor添加PHPCMS V9子标题插件 2.图片上传采用ueditor的默认上传插件 3.附件上传采用PHPCMS V9的附件上传 4.上传路径采用PHPCMS V9的默认目录模式 5.修正了PHPCMS V9 未使用附件列表中没有文件名的一个小BUG 6.实现远程图片抓取功能 7.整合ueditor涂鸦功能 8.整合ueditor word图片转存功能 9.修复PHPCMS V9后台管理启用二级域名而引发的JS跨域问题 10.支持前台用户投稿和黄页新闻发布 上图片:
注意编辑器文件夹ueditor的最终路径必须是/statics/js/ueditor/ 另外,上传的图片附件还要改下,等下再发给帖子说明下
批量删除腾讯专栏文章的脚本,腾讯云专栏签约后,抓取文章不插入原来连接,这个我怎么评价了呢!只好删除,走人了
PHPCMS的首页默认只会生成一个页面,要实现分页功能,要么把首页动态化,要么新建一个分类在url规则管理路径生成到首页。
以上标签首页不能调用,分类页和文章页都可以。从某种意义上讲 CAT = CATEGORYS[catid] 但是CATEGORYS是二维数组,可以在任意位置调用。可以看下 CATEGORYS栏目数组面包屑导航{catpos(catid)} 当前位置,在首页什么都不显示,在栏目页和文章页会显示所在栏目层级。一般都这么用
新接的一位客户说要把旧phpcms网站迁移到新的服务器并更换新域名,这对ytkah是小菜一碟,但往往事与愿违,忽略了一些细节会很惨的。进入新站后台怎么都无法生成内容,提示Table 'led_com.lz_' doesn't exist,找了半天都没搞定,重新导入数据库了也无济于事,最后去看了文件夹的权限,果然有问题,caches所有者是root,试着把它改为www,再次更新内容就ok了。附上迁移教程
对应的是phpcms/modules/member/index.php中的register函数,所以我们在那里下断点,接着使用 PoC 并开启动态调试,在获取一些信息之后,函数走到了如下位置:
本次PHPCMS版本为9.6.0,安装步骤跟上一篇文章一样,参考PHPCMS_V9.2任意文件上传getshell漏洞分析
今天给各位分享cms系统套标签的知识,其中也会对进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
今天修改一位客户的phpcms网站,他要求添加https,这对ytkah来说是轻车熟路了,但是后台稍微有点问题,点击分页出现错误,将鼠标移到下一页显示的链接是https://www.abc.com
exploit/unix/webapp/wp_admin_shell_upload
2017年4月份左右PHPCMS V9.6被曝出注册页面存在任意文件上传漏洞,通过该漏洞攻击者可以在未授权的情况下上传任意文件,甚至getshell
前面咱们一起学习了phpcms_v9.6.0,任意文件上传漏洞复现的过程,不知道小伙伴们后面有没有想到如何进行批量检测呢?我尝试写了个Python脚本,这里要感谢下小建建的API,哈哈,感觉效果还不错;欢迎写好Python的小伙伴们和我一起交流呀! 创作背景: 上周发完phpcms_v9.6.0,任意文件上传漏洞复现的过程的文章后,有小伙伴们说phpcms_v9.6.1的任意文件下载一直复现不成功,于是就有了本文。 基础环境: 1、 phpcms_v9.6.1源码。 2、 web应用环境用于搭建php
PHPCMS是采用MVC设计模式开发,基于模块和操作的方式进行访问,采用单一入口模式进行项目部署和访问,无论访问任何一个模块或者功能,只有一个统一的入口。
这个故障的原因是PHPCMS V9的QQ登录功能代码中,使用了file_get_contents函数来获取腾讯的https网址,这类网址是通过ssl加密传输的。虽然,我们可以通过为PHP安装openssl扩展,让file_get_contents函数可以获取到内容,但获取到的内容还是加密的,无法正常的解密。
PHPCMS系统内定义了一个很段的函数:go(),因为太短,这个go函数很容易和其他代码内的函数重名,我遇到的是swoole内也有go函数,所以当PHPCMS遇到swoole,就会出现如下提示:
这个不是0day,我手里也没0day,算是一个漏洞的二次审计,一篇随便写写的记录文,还请各位大牛多多交流。 0x01 偶遇 有一个目标站,扫了一下旁站,用工具没有拿到几个cms的指纹。很奇怪,随手点一个,发现下面有powered by fineCMS。我记得以前也见过这个cms,是用CI框架二次编写的cms,网上搜索搜索“finecms漏洞”,找到的都是1.7.2版本以前的(seay博客里有1.7.2注射: http://www.cnseay.com/tag/finecms%E6%BC%8F%E6%B4%9E/)。但是这个网站是v2.0.12.版本比较新。
一、找网站SQL注入点 在测试时后发现有一个信息查询框,就是下面这个图片显示的。一般信息查询框会和数据库存在交互。 我输入数字1,会正常提示木查询到相关信息。 那我们使用1’测试一下,发现不弹未查询到相关信息的提示框,也没有任何数据输出,大致判断这个点存在sql注入,并且不对输出报错信息。 大概猜测出SQL语句为 : select * from A where id ='$_POST['id']'; 没有对用户输入的数据做任何过滤。 构造一个闭合语句再次确认一些是否确认存在sql注入。 paylo
希望phpcms跟WordPress一样,能够在文章发布页面自定义url,从而提高SEO优化吗?phpcms V9版本默认是不支持自定义网址的,不过只要跟我一起稍微做下改动即可实现自定义url,甚至超过WordPress的固定连接功能。
PHPCMS的强大在于他的可扩展性强,懂PHP的人,对PHPCMS进行二次开发相对其他CMS程序是最容易的。今天讲下如何实现PHPCMS的列表中的第一项特殊化。 PHPCMS第一个项目加图片缩略图,其他的正常
脚本在对Stpe2那里进行了与手工不一样的处理,原因就是按照手工的方法进行编写的脚本会报错,具体是什么问题以及原因看文尾的分析。>值得一看!!!
在用PC V9建站的时候,很多朋友会想到Phpcms V9判定当前栏目,让当前栏目高亮的功能,在这里分享判断当前栏目、当前栏目高亮的代码,同时在此要分享if语句判断分类信息是否过期,CMSYOU给力。
0x00 背景 最近做代码审计的时候发现phpcms 有更新,现在漏洞详情基本不公开,想要知道漏洞的利用方法只能自己审计了,通常可进行新旧版本的代码比较了,来定位旧版本的漏洞位置,便下载了phpcms 9.6.3与phpcms 9.6.1 和phpcms 9.6.2的源码进行比较和审计,发现phpcms 9.6.2 中存在任意文件下载补丁绕过和前台SQL注入,便撰写了本文做个记录,期待和师傅们的各种交流和讨论。 0x01 任意文件下载补丁绕过 对比phpcms 9.6.2 版本与phpcms 9.6.1
PHPCMS调用指定频道|栏目地址URL和名称 1.调用phpcms频道|栏目URL代码: {$CATEGORYS[id]['url']} 例如:调用catid=41的栏目地址: {$CATEGORYS[41]['url']} 2..调用phpcms频道|栏目URL代码 {$CATEGORYS[id]['catname']} 例如:调用catid=41的栏目名称,调用代码就用 {$CATEGORYS[41]['catname']} 注: {$CATEGORYS[id]['url']} 和{$CATEGORY
我个人喜欢把PHPCMS当作博客来用,而作为一个博客,怎能少了文章置顶功能呢?其中用PHPCMS实现置顶功能非常简单,无非是修改下推荐位的名称为置顶,然后在文章列表中推送需要置顶的文章罢了。 不过博客系统中置顶文章可不会与文章列表中的文章重复,要解决这个问题其实也不难,看代码
之前审计的CMS大多是利用工具,即Seay+昆仑镜联动扫描出漏洞点,而后进行审计。感觉自己的能力仍与零无异,因此本次审计CMS绝大多数使用手动探测,即通过搜索危险函数的方式进行漏洞寻找,以此来提升审计能力,希望对正在学习代码审计的师傅能有所帮助。
PHPCMS默认仅支持栏目点击排行榜,在V9版本中,也可以通过数据库来调用全站点击排行。
phpcms调用子栏目名称相对比较简单一些,也是用{pc:content}来调用,只是把action设置为category,catid如果为0的话是调用所有一级栏目,如果是其他数字的话,则调用相应栏目的子栏目,比如以下的案例,catid="13"是调用栏目id为13的所有子栏目。完整的调用代码在下面,感兴趣的朋友可以测试一下 {pc:content action="category" catid="13" num="25" siteid="$siteid" order="listorder ASC"
设置maccms采集数据中的图片,保存到自己的FTP服务器,除了事先配置好服务器,还要在maccms程序后台进行上图所示操作,
一些比较重要的文章我们通常会设置为推荐,但是即使都是推荐的文章,也分重要程度的,如何把最重要的放到第一,把相对不重要的排序到后面呢? 首先来看下我写的推荐位文章列表代码
前言 在开启严肃认真的知识分享前,斗哥跟大家说一件严肃的事儿!本周日是一年一度的母亲节!无论你身处他乡还是奔波忙碌,别忘了给亲爱的母上大人送上节日的祝福,家永远是避风的港湾。好啦!煽情结束! 本周斗哥给大家带来了4月份爆出phpcms v9.6.0的漏洞之一,允许上传任意文件,可直接利用该漏洞getShell,这个漏洞利用过程还是比较简单和直接的,接下来复现下这个漏洞。 基础环境 1.phpcms_v9.6.0源码。 2.web应用环境用于搭建phpcms。 3.web应用服务器用于下载木马文件。 需
最近在学习Typecho插件开发,对于Typecho博客的数据表结构和一些基础插件方法有了一定了解,这篇笔记主要记录Typecho的七大数据表之一contents表及其用于存放attachment类的数据时的一些使用心得。
SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受黑客的攻击,关于这次发现的phpcms漏洞细节以及如何利用提权我们来详细剖析。
在众多CMS系统中,为什么我偏偏选中了 PHPCMS 而不去选择使用人数最多的织梦CMS,也没有选择论坛人气很高的帝国CMS,更没有选择其他诸如齐博,DESTOON等CMS。
PHPCMS和织梦CMS自带的编辑器都是ckeditor,但是默认情况下,这2个程序中编辑文章时,按下回车键后在源代码显示的是BR而非P,对于习惯于换行为P标签的我来说极为不便。 PHPCMS编辑器ckeditor设置回车换行BR为段落P,只需要打开staticsjsckeditorconfig.js 搜索 config.enterMode 找到如下代码
1、用途CATEGORYS 是一个二维数组,主要用来保存当前频道或者模块所以栏目的基本配置信息。2、如何设置您可以登录后台进入模块或者频道的栏目管理,然后在线修改任何一个栏目设置即可改变参数值。修改栏目参数设置系统会更新phpcms_category里相应记录的值,同时把各栏目基本信息数组缓存到 ./data/cache/category_频道ID.php ,每次访问有栏目的模块或频道时系统会自动加载其栏目基本配置信息。3、作用范围CATEGORYS 数组是系统默认加载的,可以在当前模块或频道的任何php文件和模板中调用。常用的有
在批量删除文章前,首先得熟悉用数据库增加一篇文章时变动的有哪些表,所以请先看我以前写的一篇文章 PHPCMS数据库入库模块制作教程 先手动在PHPCMS后台添加一篇文章,参数尽可能的详细,附件,推荐位,相关文章,能加的都加上,然后查看数据库,把表信息复制下来,删除文章后再次复制数据库表信息,用BeyondCompare进行比较,方法跟上面提到的文章相同。
为了响应爱慕锅(Mramydnei)、撸大师(索马里的海贼)、fd牛(/fd)的号召成立的parsec团队,以及各位老师多年来对我的教育,我要写篇回忆稿。看标题大家可能觉得,这陈芝麻烂谷子的事你还拿出来说啥。当然,我自己搓一点都无所谓,但怎么能丢了parsec的脸,各位还是且听我娓娓道来~
HPCMS当父栏目和子栏目都为静态时,当给子栏目增加一篇文章时,会自动更新相关栏目,此时子栏目的分页url规则将会覆盖父栏目的url规则,也就是说父栏目的url分页规则失效。 以上这种情况在动态页面不受影响,手动生成栏目页也不会受影响。 目前没有完美的解决方案,可能PHPCMS官方开发人员的思路是栏目分页的格式无论是父栏目和子栏目理当相同才对。 暂时能用到的解决方案:取消自动生成相关栏目的功能 在 /phpcms/modules/content/classes/html.class.php 末尾可以找到,注释掉自动生成父栏目的相关代码即可。
常用函数 , 打开include/global.func.php,下面存放一些公共函数 view plaincopy to clipboardprint? function str_charset($
在PHPCMS中{url}用来获取当前文章网址,在动态页或伪静态中能够正确获取,但是当我们把内页设置为纯静态时,{url}就失效了。在文章页,我们希望在文章末尾加上 本文地址,该怎么办呢?请在模板当中使用
这篇文章好几天前写了,给协会里新成员普及知识,看大家也都玩的差不多了,就发表到博客里,增加一点噱头和访问量,哈哈~
phpcms中自带的评论插件很好用!但是样式个人感觉丑的狠,百度一下也没能找到解决方式,也许是自己的搜索方式不对,于是自己就研究了研究,这里可以使用两种方法进行修改
新的一年开始了,发点小福利。无意间发现了一个影响phpcms最新版本的漏洞。最近我一个使用phpcms框架搭建的系统,无故多出了一个超级管理员。确定不是出于本意添加的,然后联想到可能是这个框架中可能是
使文章处于审核状态,只要到了设定的时间,一旦有用户访问有触发代码的页面,则自动通过审核,时间不到则不会通过审核。 用户访问最多的一般是文章内页,所以通常我们会把这个触发代码加入统计文章浏览次数的文件中去。
static文件相关操作涉及: a. 文件位置与访问路径映射 b. setting.py与static相关配置
0x01 背景 上周发的phpcms的漏洞分析,有些伙伴觉得比较复杂,于是便诞生本篇,通过审计一些普通的cms来一步步学习代码审计的技巧。 本篇涉及的源码下载:https://sourceforge.net/projects/fiyo-cms/ 0x02 漏洞集合 SQL 注入漏洞 问题文件:\fiyocms\dapur\apps\app_contact\controller\status.php 问题分析: 在问题文件中的第16-25行中使用GET请求接收stat和id参数的值,然后将id参数
首先得看官方配置教程,http://v9.help.phpcms.cn/html/2010/search_0919/35.html phpcms后台sphinx设置
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
领取专属 10元无门槛券
手把手带您无忧上云