电脑技术学习

横刀植入 拿下Phpcms网站管理系统

dn001

Phpcms网站管理系统,是一个基于PHP+MYSQL平台生成html的建站系统,它以安全、高效、占用资源少、负载能力强等特点,深受各类行业网站站长的喜爱。不过百密难免一疏,在Phpcms 2007SP5 SP6网站管理系统的版本里,却存在变量Formid未赋值且过滤不严的致命漏洞,本文将会对其漏洞版本进行一次实战入侵,希望能给各位使用该版本的站长们敲响警钟。

首先利用百度或者Google两个强大搜索引擎站点,找到使用Phpcms平台管理系统的任意网站后,打开系统第三方工具“phpcms0dayEXP客户端程序(图1)。

这是一款专为Phpcms管理系统,量身定做的入侵工具,这里在测试Url栏内,输入想要攻击的某Phpcms网站网址,然后单击“测试按钮。稍等片刻后,如果测试的网站的确存在注射漏洞,它就会弹出“恭喜恭喜,注射去吧的对话框信息,并且还会显示出数据库的相关信息(图2)。