装前的准备：

1、建议使用腾讯云服务器部署

2、安装宝塔面板（安装宝塔最新版，不是最新版本请先升级）

3、配置服务器环境：

最佳环境建议：

服务器配置：2核4G、3M带宽(如果只是测试可以购买腾讯云轻量应用1核1G1M)

系统：CentOS 7.6以上

WEB服务器：Nginx 1.16以上

数据库：MySQL 5.7以上

数据库字符集：utf8mb4 -- UTF8 Unicode

数据库排序规则：utf8b4_unicode_ci

PHP版本：PHP-7.3以上

Redis：Redis 4.0以上

redis开启方法：宝塔面板----PHP版本----安装扩展----redis

安装完毕后请检查数据表，目前一共是129个数据表。

强烈建议放单独服务器，不要和其他站混装在同一服务器。

使用宝塔接口API安装，请不要改变8888默认端口，如有需要，安装完毕后在更改，否则无法安装成功。

安装过程中提示“服务器错误，请刷新页面”不需要刷新页面，这是使用宝塔API能力安装，会自动重启PHP和nginx返回的报错。

安装注意事项：

1、务必按照官方要求的服务器环境安装

2、配置新云cloud才可以使用短信和IM聊天服务

3、上传短信使用授权书，短信签名24小时自动审核

4、所有子域名都需要设置访问目录为public和设置thinkphp伪静态

5、安装下载过程大概5分钟，如果提示超时需要修改PHP超时时间

配置的域名：

（1）顶级域名：xycms.com（不要带www和http://）

（2）管理后台：bsdamin.xycms.com

（3）PC端：www.xycms.com

（4）开放接口：open.xycms.com

（5）APP端：app-api-v1.xycms.com

（6）H5：m.xycms.com

（7）微信小程序：wechat-miniprogram.xycms.com

（8）微信公众号：wechat-mp.xycms.com

（9）app下载：app.xycms.com

请把xycms.com改为您的域名，其他不要做改变，只能独立新建站点，不能够直接在一个站点绑定所有域名。

域名统一指向您的站点目录，并设置运行目录为public和伪静态为thinkphp规则

第一步：登陆XYCMS官网 http://www.xycms.com 注册账号并创建网站应用。

第二步：点击下载安装文件

第三步：将宝塔自动生成删除，下载安装包后，上传到宝塔面板网站目录并解压到当前目录

第四步：在宝塔面板绑定网站运行目录为pubic

第五步：在宝塔面板绑定网站设置伪静态为thinkphp规则

第六步：打开域名在线安装，http://您的域名。

第七步：安装环境检测（此步强烈建议使用宝塔API能力安装，否则需要手动禁用pcntl开头的所有函数）状态是警告的，不影响安装使用。

推荐自定义数据库用户名、数据库名称、数据库密码，而使用宝塔自动生成功能

第八步：去宝塔面板开启API能力，并把127.0.0.1加入白名单IP

第九步：将宝塔API填入到安装界面中，可直接使用宝塔自动创建，会自动在宝塔中创建图中各个端的域名，以下域名为系统默认，大家不要自己修改，否则可能影响正常使用，免费版的用户，这个界面会有绑定APP域名、小程序域名，对您的使用也没有任何影响，不需要理会，正常安装即可，点击下一步。

第十步：配置数据库，由于刚才我们使用宝塔API能力，系统帮我们自动绑定了域名和生成了数据库名称、用户名、密码。

点击下一步系统会自动帮你生成并创建数据库信息，但是建议修改为你自己方便使用的数据库名称、用户名、密码、表前缀。设置管理员用户名和密码后点击下一步即可进行远程下载安装。

此过程大概需要等待5-10分钟，因为需要请求云端服务器下载，解压，安装，导入MySQL整个安装流程，此过程不能刷新和关闭窗口，否则需要重新安装。

第十一步：在等待5-10分钟后，完成安装。

第十二步：登陆后台http://bsadmin.您的域名.com/

输入您之前创建的账号密码，即可登陆。

第十三步：右上角点击全站缓存，待缓存刷新之后，F5刷新当前页面。

更新完全站缓存，需要ctrl+f5强制刷新当前页面

第十四步：打开系统----API----应用----PC、开放接口、MOBILE、微信公众号，分别启用状态以及更新KEY和缓存。

第十五步：打开系统----配置-----站点配置，配置好基本信息。

注意：除了顶级域名以外，其他所有的网址都要带http://或者https://

第十六步：启动XYCMS队列推送服务

使用putty.exe、xshell工具连接服务器

步骤1：切换到您的站点安装根目录，例如 cd /www/wwwroot/xycms/，再执行步骤2命令

步骤2：php think xycms start

步骤3站内信推送服务：php think worker:gateway -d

第十七步：配置H5

步骤1：系统----API----应用-----Mobile-----更新KEY

步骤2：系统----API----应用-----Mobile-----更新缓存

第十八步：配置其他基础信息，例如新云cloud（使用短信和IM模块必备），通过www.xycms.com官网申请及购买。

第十九步：全站缓存更新

情提示

初入安全，小白一个，本文重在学习与经验分享！

背景

在黑客攻击WEB站点的过程中，黑客已经通过某种方式将"一句话"木马（简称Webshell）写入到web站点目录，且此站点目录具备执行权限，通过"中国菜刀"工具就可以实现控制整个WEB站点的目录，再进一步通过某种方式（如：内核漏洞提权、软件漏洞提权等）实现权限的提升来获取系统的超级权限，且asp、php、jsp、aspx等web站点都存在此问题。

先来认识一下句话木马（以PHP站点为例）：

理解：

@ 符号表示后面即使报错仍继续执行；

eval() 函数把字符串按照PHP代码来执行， 该字符串必须是合法的PHP代码,且必须以分号结尾。

$_POST[]超全局变量，用来获取使用POST方式提交的表单数据，可以简单理解为中括号里的字符串就是"中国菜刀"的连接密码。

注：如果一句话木马按照图片内容的形式写入到web站点目录中，有时用"中国菜刀"连接会报错（如：出现乱码或者没有任何显示等），这种情况是由于字符编码的问题，只需要在一句话中指定字符集即可解决，如下：

1. 实验环境

本次实验是假设黑客已经通过某种方式获得了此web站点的后台账户信息，当然也可以通过"上传漏洞"等方式将一句话木马上传到站点目录中。

本文重点理解"一句话"木马，所以不再演示"上传漏洞"或者获得后台账户信息的实验过程。

靶机 Web URL：xycms1.2/

2. 一句话木马上传并执行成功的条件

（1）一句话木马未被web站点部署的防火墙或者防病毒软件拦截；

（2）一句话木马所在的目录具备执行权限，一句话可以正常运行；

3. 一句话木马的制作并利用

（1）一句话木马制作

将"一句话"插入到某个php页面中或者直接将"一句话"定义为php文件，如下所示：

（2）"中国菜刀"连接"一句话"

打开"中国菜刀"工具，在空白处点击"右键"添加"一句话"木马文件所在路径

将"一句话"文件的所在路径添加到相应的位置，并输入正确的密码，选择语言类型以及字符集并点击"添加"按钮

双击添加的"链接"，无报错，则可成功拿到web站点的整个目录结构

4. 过狗一句话的制作

在实际生产环境中，往往会部署WAF应用防火墙等安全软件系统（俗称"狗"），如果按照第3章的方式上传"一句话"，容易被管理员发现且肯定会被"狗"拦截。那么，这时候就需要用到"过狗一句话"木马（如：图片马）了。

图片马只是其中一种方式，还可以通过多次添加十六进制、ASCII码等方式来过"狗"。

4.1 图片马的制作方式一

注：这种方式相对于直接写php页面的方式较为隐蔽，只要管理员不挨个排查图片属性就不易被发现。但是，这种方式只是相对的，也容易被"狗"拦截。

（1）将"一句话"写入到图片的属性里

（2）判断图片马是否可以正常运行

（3）"中国菜刀"连接"图片马"

4.2 图片马的制作方式二

注：将"一句话"写入到图片的内容里，这种方式最为隐蔽

（1）通过"C32Asm"工具将"一句话"写入到图片的内容里

（2）判断"图片马"是否可以运行

（3）"中国菜刀"连接"图片马"

3. "一句话"木马制作MySQL番外篇

由于某种原因，意外获得了站点后台数据库的权限很小的一个MySQL数据库的账户信息，如：此MySQL账户只能查询普通表，但是无法查询存放后台账户信息的表。此时，可以使用mysql客户端的tee命令，将"一句话"写入到某个php文件中，及时报错也无所谓。

（1） tee命令，将mysql客户端的操作命令输出到某个文件中

# tee命令是MySQL客户端自带的命令，可以使用此命令将命令行输入的所有内容输出到指定的文件中。

（2）查看tee命令是否将"一句话"写入到指定的文件中

通过下图可以看到，"一句话"已经正常写入到了指定的文件中，此文件中有其他报错的显示也无所谓，"中国菜刀"可以正常连接。

（3）"中国菜刀"连接"一句话"

国人寿新乡分公司城区营销部新租赁职场改良装修项目招标公告

项目编号：TZZB2018-006号

中国人寿保险股份有限公司新乡分公司的中国人寿新乡分公司城区营销部新租赁职场改良装修项目。现委托河南天正建设工程咨询管理有限公司对该项目进行公开招标。

一、项目的概况与招标范围：

1、招标工程的规模：2268.07㎡

2、招 标 范 围：工程量清单范围内施工及质保期内保修。

3、资金来源和落实情况：自筹资金，已落实

4、工程建设地点:新乡市卫滨区人民路358号天隆城四层北部

5、标 段 划 分：1个标段

6、工 期 要 求: 45日历天

7、质 量 要 求:合格

二、对投标人资格要求：

1、本次招标要求：投标人资格要求：投标人必须为具有独立法人资格和良好信誉的企业，具有建筑装修装饰工程专业承包贰级及以上资质等级，具有有效的安全生产许可证；项目负责人应具备建筑工程专业贰级及以上建造师资格证书或建造师临时执业证书并具有安全考核合格证；投标人须出具由项目所在地或企业营业执照注册所在地检察机关开具的《查询行贿犯罪档案结果告知函》，查询对象包括法人、法定代表人、项目经理（需在有效期内）。

2、本次招标不接受联合体投标。

3、资格审查方式：资格后审。

4、凡具备上述规定的资格条件，有承担招标工程项目的能力的企业，均可参加本工程项目的投标，但不良记录在有效期内的除外。

三、投标报名须知：

投标申请人报名时需提供以下资料：法人授权委托书、委托代理人身份证（以上材料需提供原件且提供贰份复印件加盖公章）。符合条件的投标申请人可到 （新乡市振中路与纺织路叉口向北200米路东——河南天正建设工程咨询管理有限公司）报名并获取招标文件和相关资料，时间为2018年5月10日至2018年5月16日，每天上午 8时30分至11时30分，下午15时00分至18时00分（公休日、节假日除外）。投标单位须在报名同时在“中国人寿采购招标网—供应商注册栏”进行注册（cpmsx.e-chinalife.com/xycms），注册后，再到河南天正建设工程咨询管理有限公司报名。

四、招标文件每套售价为人民币500元，售后不退。

五、投标文件递交：

2、投标文件递交及开标地点：新乡市英皇假日酒店会议室（地址：新乡市和平路与华兰大道交叉口东南角）

3、逾期送达的或者未送达指定地点的投标文件，招标人不予受理。

六、发布公告的媒介：发布公告的媒介：本次招标公告同时在《中国采购与招标网》、《河南招标采购综合网》、《河南省政府采购网》、《新乡市政府采购网》、《中国人寿采购招标网》发布。

七、本招标工程招标人接受相关部门依法实施的监督，监督电话：

中国人寿保险股份有限公司新乡分公司监察室：0373-5021958

招标人： 中国人寿保险股份有限公司新乡分公司

联系人： 马高干联系电话：0373-5021889

代理机构： 河南天正建设工程咨询管理有限公司

联 系 人： 李朝阳联系电话：15516591314

河南天正建设工程咨询管理有限公司

2018年5月9日