首先先将下载好的源码放进Seay代码审计工具进行自动审计,并了解ZBZCMS的大概框架 查看index.php文件,发现也没啥可以利用的地方 看一下审计完的漏洞,发现一处echo函数可控,进入到文件里面详细查看 任意用户添加 发现一处可以任意增加管理员漏洞 我们查看表的结果,构造参数进行上传 获得回显,说明用户新增成功 数据库里面...
有段时间没有更新了,这段时间一直在对一些项目重点保护,所以学习有些滞后,但是审代码一直是我比较感兴趣的事,这次也是选择用自己学到的方法结合网上一些已知的漏洞进行审计,希望我的文章也能给想做代审的小伙伴提供思路。 环境搭建 环境部署好后,访问localhost/zbzcms.com...