记一次某内容管理平台最最最详细的代码审计

文章预览

前言 刚好遇到一个授权的渗透是通过该cms实现getshell，所以顺便审计一下java类的cms，这个管理系统是一个内容管理系统，下载地址 https://gitee.com/oufu/ofcms/tree/V1.1.3/ tomcat下载地址 https://dlcdn.apache.org/tomcat/tomcat-8/v8.5.78/bin/apache-tomcat-8.5.78-windows-x64.zip 这里我选择8.5.78 环境搭建 idea ofcms V1.1.3 tomcat 8.5 idea直接创建新建项目，自动导入xml文件，配置启动服务器 导入sql文件 mysql -uroot -pxxxxxxx use ofcms source  /路径.ofcms-v1.1.3.sql show tables; 这里需要注意一点儿，源码确实，无法打包war'包，解决不掉artifacts的问题 配置端口 启动tomgcat的时候会乱码，修改tomcat的配置文件 tomcat->config->logging.properties 更改所有 utf8 的格式为 GBK 配置maven，整一个恶心的想吐        alimaven        central        aliyun maven        http://maven.aliyun.com/nexus/content/repositories/central/      ………………………………