安装易优cms提示 数据库连接失败,请重新设定
“dedecms error warning!”警告,无法使用数据库,当访问你的dede网站的时候,看到这样的信息后,如何解决这类数据库连接失败的错误:先详细分析mysql数据库无法连接的原因:为什么会出现mysql数据库无法连接的错误提示?根据日常维护经验,总结有如下几个原因:
空间提供商mysql服务器异常,导致错误提示。
在空间控制面板中修改了mysql数据库访问密码。
Dedecms数据库配置文件中没有正确配置空间提供商给的mysql数据库信息。
上述三个原因,通常导致dedecms提示:无法使用数据库,导致无法使用mysql的原因。根据上面常见原因,参考如下 *** 进行逐步判断和解决。
如何解决第1个原因:空间商的mysql服务器异常,这个直接问空间商,或用IP反查工具,查询 同IP下的网站访问是否正常来判断。如果确认是空间商的mysql服务异常,直接和空间商反馈即可。
解决第2和第3个原因:
上面说的第2个和第3个原因,都是人为导致的原因,操作不当或好奇心驱使导致的。在空间控制面板中修改了mysql数据库访问密码,也要同步修改dedecms的数据库配置文件common.inc.php,否则将会提示数据库无法连接的错误。
登录ftp,下载找到/data/common.inc.php到本地,然后使用文本编辑打开,直接修改正确的就可以了。
dedecms 数据库配置文件所在位置,三个信息是关键所在:$cfg_dbhost一般不需要修改的,$cfg_dbname是指数据库名称,$cfg_dbuser数据库的用户名$cfg_dbpwd数据库密码 后面的是数据表前缀和数据库的字符集编码格式,一般不需要修改Dedecms数据库连接错误一般在这里修改数据库配置信息就OK了!
使用这个 *** 是非常轻松简单的,这比重新安装一次dedecms、然后再导入备份数据库、然后再生成站点可轻松多了。
一个完整挖洞/src漏洞实战流程【渗透测试】
只要搞渗透,不就会听到很多行业内人前辈一直在重复:“信息搜集” 信息搜集有多重要,你搜集的到的多少资产信息,决定了你后续进行的一系列实战到什么程度!
要说SQL注入的漏洞咋找,逻辑漏洞咋找,支付漏洞咋找,越权漏洞咋找,等等
实这都一个道理,用谷歌语法,找通杀用fofa,这里演示几个类型的漏洞,其它的也是一个道理。
之一个: SQL注入漏洞
AS:首先是SQL注入的,这个漏洞说实话,基本就是谷歌语法找的快,
语法: inurl:asp?id=23公司,这时候你会问:不是inurl:asp?id= 就行了吗,当然!
这可以!如果你想找到一些奇奇怪怪的站可以用这个,比如:
这时候明白接公司的重要性了吧,这里找的是asp的站,为啥找asp的站?
其中一一个最重要的原因就是因为他,好挖!
当然这里只是找了一小部分站点的, 如果突然发现重复了咋办?
这个简单,换个id就行了同学!
inurl:asp?id-34公司,这里的id 值不断的变变变就行了,你们也可以对比一下
这是不是就不一样了,当然如果有兴趣的话,也可以搜搜inurl :php?id=12公司
这也是可以找到很多站的,不过加WAF的几率很大
我找了10个9个都加过,所以说要想上分上的快,asp 的站绝对不能落下!
这里我就不多叙述,因为这站好找,真的特别好找,但是要想能弱密码进去的却很少
直接上镜像站一放inurl:什么牛鬼蛇神都出来了,这后台管理的站可以说是非常多了
当然如果不想找到国外其它奇奇怪怪的站点的话,建议加个关键词公司
可以看到这里一堆后台,当然要渗透这些后台弱密码很少能进去了
你看到我打inur1: 它自动给我补齐关键词了吗,说明这玩意很多人挖
一般搞后台,先信息收集,这个等会说,反正我是没搞到过几个
这种漏洞咋找?商城,积分商城。
试试谷歌语法: info:商城AND积分商城
这不全是商城吗,当然对于一些大厂, 建议不要去搞
因为防护也会比一般的站点比较严格,况且现在做在线网上商城的站点也很少了
其实可以在漏洞挖掘的时候注意一下站点是否有paypal这个功能,有的话,可以搞一搞的,这还是有搞头的
再来就是逻辑漏洞,比如说平行,垂直越权,任意密码重置啊什么的。这类漏洞还是很多的,大家也可以去慢慢测的!
最后一个,通杀的漏洞咋找?
这时候就是要靠我们万能的fofaQ了,首先我们要知道有哪些cms有漏洞
这里大家可以去找网上的漏洞库,里面- -般都会有漏洞合集和这里我稍后会给大家推荐一两个
看到没有,就是这么多cms,杀一个准,上分必备漏洞
不过有些重复提交了,可以给你们看看学员们的战果!
当然,重复了几个,但还是相当不错了。
看完开头,相信你已经知道怎么找漏洞了,那我们就说说漏洞如何挖掘,这里分事件型和通用型漏洞
首先来的,肯定是我们的sq1注入了,首先使用我们的通用语法inurl:asp?id=xx 公司
直接点进去,不要害怕,只要不违法,咱不干坏事就行
看到报错了,说明啥,说明可能存在注入啊朋友,直接and 1=1 |and 1=2 *** 去
经过一番寻找,我们来到了这个网站:
看到网站直接插单引号,看他报不报错
看到效果十分明显,这种情况直接丢sqlmap9 ,反正我是丢的sqlmap , 大家如果时间充足的话可以上手
下一个站,这个站存在的漏洞是任意密码重置和CSRF漏洞
首先是CSRF漏洞,相信不用我说你们也应该会了,这里就是这点出现漏洞
你们可以自己去测测,这里说我主要说的是任意密码重置漏洞
(这个漏洞现在也已经被修复了)
在这一步的时候, 抓个包
这里再改成自己的邮箱,这样自己的邮箱就能接收到验证链接,直接点击就好
看到这里,支付漏洞 和验证码绕过之类的逻辑漏洞是不是感觉+分的好挖,有没有这种感觉!
这里类型比较多,篇幅太长不好阅读。举例这两种做参考~
三、提交报告
例如baidu.com发现了SQL注入
之一步:“标题”和“厂商信息”和“所属域名”
站长工具icp.chinaz.com/baidu.co...
查询域名备案信息,看到这个公司名了吗
这样写
漏洞类别啥的,如果不是0day的话,像图中一样就行了
所属域名要写该公司的“网站首页”或者“官网”
看到这个了吗
漏洞类型: -般都是Web漏洞,然后漏洞是什么写什么,这里是一个SQL注入。
漏洞等级: SQL注入-般都是高危,但如果厂商比较小的话,会降级,降成中危。
漏洞简述:描述一下SQL注入是什么、 有什么危害之类的。
漏洞url:出现漏洞的URL。
影响参数:哪个参数可以注入就写哪个
漏洞POC请求包: Burp抓个包复制粘贴。
如果你嫌每次打字麻烦,可以新建一个记事本, 把框架写好,提交的时候替换一些内容就可以了。
把标题、漏洞简述、复现步骤、修复方案,把标题、漏洞简述、复现步骤、修复方案,可以省不少时间!
今天的内容虽然偏长,但是都是干货呀!从找漏洞到提交直接一步到位! 安排的明明白白!
注:任何未经授权的渗透都是违法行为,咱们挖SRC,担心会违法,记住一点, 点到为止,不要动里面的数据,发现漏洞之后,尽快提交漏洞,联系厂商进行修复。
渗透测试的七个步骤
渗透测试的七个步骤
之一步:确定要渗透的目标,也就是选择要测试的目标网站。
第二步:收集目标网站的相关信息,比如操作系统,数据库,端口服务,所使用的脚本语言,子域名以及cms系统等等。
第三步:漏洞探测。利用收集到的信息,寻找目标的脆弱点。
第四步:漏洞利用,找到对方系统的弱点后,进一步攻克对方系统,拿到目标系统的权限。
第五步:渗透目标内网的其他主机,把获得的目标机器权限当作跳板,进一步攻克内网其他主机。
第六步:验证漏洞与修复漏洞。
第七步:清楚渗透痕迹,编写测试报告。
eyoucms(易优)常用标签汇总
1、调用图片路径
2、列表内容循环标签写法
3、调用logo的标签
4、调用导航
5、调用基本信息
6、调用当前栏目的图片
7、易优cms去底部版权的 ***
注:这里的copyright我改成了id,因为id可以提高速度。比class更好一些,如果你想用class也是可以的。
7.1 js去版权
7.2 css去版权
8、易优cms(eyoucms)的上一篇下一篇
9、获取文章详情
10、获取作者
11、获取日期
12、获取点击数
13、详情页获取栏目图片
14、首页调用特荐文章标签
15、首页文章推荐时候获取时间
16、详情页返回列表的链接
17、友情链接
18、上一篇与下一篇
19、列表内容标签
20、面包屑
21、首页获取关键词、描述、标题。
22、调用css和js
23、调用公共模板
24、调用详情标题【详情页】
25、调用文章详情【详情页】
26、文章点击数【详情页】
27、列表模板和内容模板调用关键词和描述、标题
28、引入其他模板
0条大神的评论