CMS,即 Content Management System ,中文全稱是“網站內容管理系統”。網站內容管理系統具有許多基於模板的優秀設計,可以加快網站開發的速度和減少開發的成本。網站內容管理系統的功能並不只限於文本處理,它也可以處理圖片、Flash動畫、聲像流、圖像甚至電子郵件檔案。網站內容管理系統其實是一個很廣泛的稱呼,從一般的博客程序,新聞發佈程序,到綜合性的網站管理程序都可以被稱爲內容管理系統。
簡單來說,這就是一個網站開發的工具。很多的網站都是通過cms進行搭建的,雖然功能強大,但只要出現漏洞,那麼很多網站都會遭殃。需要及時的修補漏洞。
一:常見的CMS系統
1、PHP類:dedecms、帝國cms、php168、phpcms、cmstop、discuz、phpwind等
2、ASP類:zblog、KingCMS等
3、.net類:EoyooCMS等
4、國外的著名cms系統:joomla、WordPress 、magento、drupal 、mambo。
二::CMS網站滲透基本步驟
1、判斷是什麼類型的CMS
2、根據CMS類型查找已知的漏洞,進行敏感信息蒐集(找到後臺管理員入口,找到管理員賬號、密碼等)
3、提權(上傳一句話木馬,連接菜刀,得到數據庫,遠程控制)
三:CMS類型判斷
1、通過專業網站或小工具查詢(whatweb或cmsmap)
2、通過版權信息進行查詢(拉到底部查看版權信息,有些站點會顯示出來,比如織夢這個)
3、通過robots.txt文件來判斷出cms的類型(網站域名/robots.txt,瀏覽器打開就是)
(1)如果路徑是wp路徑可以看出這個是WordPress的cms
(2)如果路徑是e路徑可以看出這個是PageAdmin cms
(3)有些robots.txt裏面寫得不是很清楚。就像上面這個,我們直接複製路徑百度
4、直接查看源代碼,搜索Announced by
5、論壇 discuz 簡稱dz ,博客 WordPress ,企業網站 metinfo