能否利用WordPress搭建视频网站？开发技术与下载选项是什么？

wordpress建视频网站可以吗,网站开发技术 下载,wordpress插件关闭更新,html和php做网站哪个好前言 这个awd打的悲#xff0c;后台默认用户名密码为admin:admin#xff0c;但是几乎所有人都改了 而且一进去看到这个cms就有点懵逼#xff0c;都不知道这个cms是干嘛的#xff08;没用过相似的cms#xff09; 虽然网上找出了很多相关的漏洞#xff0c;但是不知道为什…前言 这个awd打的悲后台默认用户名密码为admin:admin但是几乎所有人都改了 而且一进去看到这个cms就有点懵逼都不知道这个cms是干嘛的没用过相似的cms 虽然网上找出了很多相关的漏洞但是不知道为什么一个都没用上或者说是用不了 所以现在来审计一下这个cms 根据里面的注释我得出是 v5.5 的版本虽然不知道有没有经过bugku的魔改 不过上面说的版权倒是给我整不会了有没有专业人士说说我这个研究算不算破解反正网上挺多的 而且bugku也对其进行过修改awd的时候index.php加了个后门 路由分析 我进入后台admin的时候会自动跳转到 index.php?caseadminactloginadmin_diradminsitedefault 据我的经验这里用的是参数作为路由 caseadmin # 指定类 actlogin # 指定类方法 admin_diradmin sitedefault一切都是由 lib\tool\front_class.php 中的 front 作为引导 index.php 进入该类找到dispatch函数 method_exists 是 PHP 中的一个内置函数用于检查一个类是否包含某个指定的方法成员函数。 也就是说 $case 指定类 $method 指定该类的方法 case: admin_act method: login_action而这两个值都由请求参数 case 和 act 决定 但是这个类的路径在何处呢我们继续追踪 在 method_exists 的上面case已经被new过了当new的时候找不到类时就触发了 __autoload 方法 最后类的路径是 lib/admin/admin_act.php 为什么会找到这个地方的类 set_include_path 可以设置文件包含时的路径这里设置了 /lib/admin 而该方法在 front 的初始化函数就被执行过了 被设置的路径在index.php 中也被设置过 set_include_path(ROOT./lib/default.PATH_SEPARATOR.ROOT./lib/plugins.PATH_SEPARATOR.ROOT./lib/tool.PATH_SEPARATOR.ROOT./lib/table.PATH_SEPARATOR.ROOT./lib/inc);也就是参数路由的执行函数都在 lib 文件夹中找 后台登录分析 既然知道了路由规则那么现在看看是否能通过注入到达后端 首先通过审计代码我们知道一共有三处过滤第一个是new front的时候 __construct中的过滤 index.php lib\tool\front_class.php 这里直接对所有GET参数的username过滤了单双引号导致最后的sql语句无法被闭合现在我还是没想到怎么绕过这里 第一个也是 front中 __construct中的过滤 这里先判断php是否会自动转义引号这里我有必要解释一下 get_magic_quotes_gpc 是一个 PHP 函数它在旧版本的 PHPPHP 5.4 之前中可用。它用于检查 PHP 配置中是否启用了魔术引号Magic Quotes功能。魔术引号是 PHP 中引入的一个功能用于自动转义传入数据中的字符例如来自表单提交或外部来源的数据以帮助防止 SQL 注入和其他安全漏洞。 如果启用了魔术引号get_magic_quotes_gpc() 返回 1 或 truePHP 会自动在 $_GET、$_POST、$_COOKIE 和 $_REQUEST 数组中的传入数据添加转义斜杠\。这种转义是为了使数据在 SQL 查询中使用时更安全。