迅睿cms 网站设置

image.png

一、站点信息

1、首页静态:

网站设置

开启之后首页将会自动生成静态文件,index.html,当有人访问时触发,更新缓存自动删除。

2、网站状态:

网站设置

当关闭网站时,除管理员之外的用户将无法访问(静态页面除外),关闭之后管理员账号可以正常访问网站

3、网站LOGO:

网站设置

用于前端页面的logo上传,模板调用代码 {SITE_LOGO}

3、网站名称:

网站设置

给网站取一个名字,模板调用代码 {SITE_NAME}

4、ICP备案信息:

网站设置

模板调用代码 {SITE_ICP}

5、第三方统计代码:

网站设置

模板调用代码 {SITE_TONGJI}

6、网站域名设置:

网站设置

详细变更域名的教程参考:https://www.xunruicms.com/doc/881.html

7、自定义网站信息字段:

https://www.xunruicms.com/doc/744.html

二、参数设置

1、网站语言:

网站设置

设置网站后台的语言,语言翻译教程:https://www.xunruicms.com/doc/420.html

2、时间格式:

和php语言的date参数一致:https://www.xunruicms.com/doc/523.html

image.png

3、风格模式:

网站设置

模板调用代码 {HOME_THEME_PATH}

远程地址,随便输入一个外部URL地址

本地资源,将css等文件放到/statc/目录名称/里面

4、模板目录:

网站设置

/template/pc/default/,网站前端的解析模板文件

### 迅睿CMS后台Getshell漏洞解决方案与利用方法 迅睿CMS是一款基于PHP+MySQL+Codeigniter架构的开源内容管理系统。其存在的一些安全问题可能导致攻击者通过特定漏洞获取WebShell。以下是关于此漏洞的解决方案和利用方法。 #### 1. 漏洞分析 根据提供的信息,迅睿CMS可能存在以下两种主要漏洞: - **SSRF漏洞**:`flag.php`文件中可能包含未正确验证用户输入的逻辑,导致服务器端请求伪造(SSRF)漏洞[^1]。 - **MySQL日志文件写入漏洞**:通过修改MySQL日志文件的存放位置及后缀名,可以生成一个可执行的PHP文件,从而实现Getshell[^2]。 #### 2. 利用方法 ##### (1) SSRF漏洞利用 如果确认`flag.php`文件存在SSRF漏洞,可以通过构造恶意URL来访问内部服务或接口。例如: ```python import requests url = "http://target.com/flag.php?url=http://internal-service" response = requests.get(url) print(response.text) ``` 上述代码尝试通过`flag.php`访问目标服务器内的其他服务。如果成功,可能返回敏感信息或进一步用于攻击。 ##### (2) MySQL日志文件写入漏洞利用 登录到phpMyAdmin后,可以通过以下步骤完成漏洞利用: 1. 修改MySQL日志文件的路径为Web目录下的某个文件,例如`/var/www/html/shell.php`。 2. 设置日志文件后缀名为`.php`。 3. 在日志文件中写入PHP代码,例如: ```php <?php @eval($_POST['cmd']); ?> ``` 4. 访问生成的`shell.php`文件并发送POST请求以执行命令。 #### 3. 解决方案 为了防止上述漏洞被利用,建议采取以下措施: - **修复SSRF漏洞**:对`flag.php`中的用户输入进行严格校验,禁止直接将外部输入作为URL使用[^1]。 - **限制MySQL日志文件权限**:确保MySQL日志文件无法被随意修改路径或后缀名[^2]。 - **定期更新系统**:保持CMS及其依赖库的最新版本,避免已知漏洞的影响。 - **启用防火墙与WAF**:部署Web应用防火墙(WAF)以拦截恶意请求,并配置服务器防火墙规则限制不必要的访问。 ```python # 示例:检查用户输入是否合法 def validate_url(input_url): allowed_hosts = ['example.com', 'api.example.com'] parsed_url = urlparse(input_url) if parsed_url.netloc in allowed_hosts: return True return False ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

迅睿CMS框架

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值