经常听说某某网站被黑，请问黑人家网站的基本原理是什么呢？

所说某某网站被黑，其实是指黑客入侵网站服务器，非法获取权限。而黑客入侵的过程大概可以分为七个步骤：

一、信息收集信息收集，是主要收集关于入侵对象的更多信息，方便后续漏洞挖掘。需要收集以下大概信息：

（1）whois信息：注册人，电话，邮箱，DNS，地址

（2）Googlehack：敏感目录、敏感文件、后台地址、更多信息收集

（3）服务器IP：nmap扫描，端口对应服务、C段

（4）旁注：bing查询、脚本工具

（5）如果遇到CDN：绕过从子域名下手、dns传送域漏洞

（6）服务器、组件指纹，操作系统，web容器、脚本语言

二、漏洞挖掘通过收集到的信息，然后就进行漏洞挖掘。漏洞一般是操作系统或者应用软件设计的时候由于逻辑不严谨，留下了安全漏洞；还有可能网站管理人员配置web服务器或数据库服务器不当，而留下了安全漏洞。一般漏洞大概如下：

（1）探测web应用指纹：

博客类：WordPress、emlog、Typecho、Z-blog

社区类：discuz、phpwind、dedecms、startBBS、Mybb

PHP脚本类型：dedecms、discuz、PHPcms、PHPwind

（2）xss、csrf、xsio、sqllinjection、权限绕过、任意文件读取、文件包含

（3）上传漏洞：截断，修改，解析漏洞

（4）有无验证码：暴力破解

漏洞千千万万，这列举的也仅仅是其中一部分而已。

三、漏洞利用如果发现某个漏洞之后，就开始漏洞攻击，获取相应权限，根据场景不同变化思路拿webshell或者其他权限

（1）思考目的性，要达到什么效果

（2）隐藏，破坏性，探测到的应用指纹寻找对应exp攻击载荷或者自己编写

（3）开始漏洞攻击，获取相应权限，根据场景不同变化思路拿webshell

四、提权黑客根据对应漏洞，获取了一定的权限，但不一定是最高权限，有可能只是一个普通用户的权限，这个时候就需要配合另外一些本地漏洞来进行提升普通用户权限了，将权限扩大化。只有把权限提升之后，才更加方便后续的操作。

（1）根据服务器类型选择不同的攻击载荷进行权限提升

（2）无法进行提权，结合获取的资料开始密码猜解，回溯信息收集

五、实施攻击当黑客获得最高权限后，就可以对目标为所欲为了。包括篡改网站首页、篡改其他重要文件、窃取信息、上传后门程序等。

六、留后门黑客留后门的目的，是为了下次更加方便的进入系统。上传运行后门木马便是其中一种手段，当然这种手段很多。

七、日志清理清理日志是最后的善后工作，因为对操作系统的任何操作，都会有对应的日志记录下来。已经获得了最高权限，为了隐藏自身，黑客往往需要删除或者篡改对应的日志。

（1）伪装、隐蔽，删除指定日志

（2）根据时间段，find相应日志文件

结束语以上是小黄总结的黑客入侵的大概流程，不提供任何入侵具体细节，仅供运维新手或对黑客入侵感兴趣人士了解下流程。小黄作为一个网站运维人员，对网站入侵也需要做一定的了解，才能更好的做对应的防护工作。在实际工作过程中，信息收集这部分基本每天都有，可以说几乎时时刻刻都有探测之类的；即将入侵成功（事中发现异常）和已经入侵成功（事后发现异常）也发现好几起。

文|技术猿小黄图|来源于网络我是技术猿小黄，很高兴为您回答，如果您喜欢我的回答，可以关注我，点个赞，谢谢

如果您有什么想法或建议，欢迎下方留言评论。

phpcms自定义字段呀，V9怎么能没有！管理员出来说一下？

phpcms_v9多图字段内容页，首页，分页自定义字段调用

说明：自定义多图字段名

1 内容页调用

复制代码

代码如下:

{loop $shigongtu $r}

{/loop}

2 首页，分页调用

第一种推荐位调用自定义字段

在模型里加好自定义字段后，必须把“在推荐位标签中调用”点击“是“

然后用同一样的方法去调节数据就OK了，记住，如果你加了文章，必须去更新文章才会显示，自定义段在推荐中只显示你选择后，选择前加的加文章不显示，更新一下文章就显示了

例子：

复制代码

代码如下:

{pc:content action="position" posid="推荐位id" num="30" thumb="1" moreinfo="1" order="listorder DESC"}

{loop $data $key $val}

{str_cut($val['title'],20)}

{/loop}

{/pc}

普通列表或栏目调用自定义字段

在{pc:content action="lists" 后加上副表moreinfo=1 (等于1时显示，0时不显示)

例子：

复制代码

代码如下:

{pc:content action="lists" moreinfo="1" catid="51" order="id" num="5"cache="3600"}

{loop $data $r}

{$r[title]}

{php eval("\$arr=" . $r[zuzwn] . ";");}

{loop $arr $val}

{$val[url]} |

{/loop}

{/loop}

{/pc}

注：

原来是需要在模板里进行一次PHP变量赋值才行。LOOP标签查出来的变量数组不能直接再使用LOOP循环。

复制代码

代码如下:

{pc:get sql="select * FROM v9_house_data where id=2" num="1" cache="3600" return="data"}

{loop $data $r}

{php eval("\$arr=" . $r[hxt] . ";");} //必须增加这个赋值，才能二次LOOP变量数组

{loop $arr $rs}

{$rs['fileurl']}

{/loop}

{/loop}

{/pc}

想要做个网站，个人的，写写日志什么的，从哪里开始好呢？

废话不多说，直接上干货！

如果只是想做个人网站，就是blog，博客虽然很多人都说这个东西过时了，但是仍然有很多人对它情有独钟！

先问自己几个问题：

1.网站是什么主题？什么定位？

2.有多少预算？

3.是想自己静静的写东西自娱自乐？还是希望日积月累的让自己的网站有价值？或者是不光想保留自己的想法，如果流量起来了，还想挂个广告被动赚点钱？

举个例子。

如果题主喜欢音乐，就想做个推荐好音乐的个人博客。一年有几百元的预算，个人做站，不想太多投入资金。希望其他人能通过百度或其他搜索工具找到他，如果能靠广告营收赚点小钱就更好了。

之后就可以开始了。顺便说一句，如果想挂广告联盟的话，最好是用国内的云服务器。如果不想走广告联盟，找个对应推广的广告挂着也无所谓的，国内和国外的都可以。国内网站需要备案，香港云和其他境外云没这个需求。

1.选择域名&云服务器

阿里云和腾讯云都对新人很友好，很多优惠活动，如果前期流量不大的情况，1核2G 1M的就完全可以负担起一个博客。等人流上来再提升服务器配置也OK。当然，要是遇上大活动的时候，2核4G 3年一千多左右，完全可以考虑入手。不过大活动得碰。不过像之前双十一双十二这种，真是一年当中最合适的入手机会了。

2.选择喜欢模板

只想做博客的话，很多可选择。比如WordPress、Z-blog。装就完事了！

如果印象没错的话，阿里云有直接买了安装WordPress的这种。

3.备案

只要在国内建站，备案就是逃不过去的。个人站长买完域名、服务器之后，申请备案就好。一般阿里云的话，只要过了初审，就可以绑定域名展示了。

4.上传内容

自己建站，内容自己定，原创还是伪原创，全看您自己喜欢。如果想更快点的让百度知道，就注册一下百度站长，把自己的网站推荐了。

5.做好SEO

如果只想自己踏踏实实写东西的，优化一下自己网站的title、keyword、描述等等最简单的站内SEO优化就好。如果还希望能有流量，那就勤快更新点文章，再做做外链。如果写的内容有价值，原创规律，3个月的时间大概就能看到比较好的成效了。

如果觉得纳兰说得有点意思，请关注！谢谢！

作者简介：纳兰说数码，工科毕业，爱玩爱搞机，也深爱写作。关注我，咱们一起聊点有趣的数码产品或者超酷有用的APP。专业建站，专业APP/网站/小程序制作，专业SEO。