一.审计所需软件
phpstudy、Seay源代码审计系统、火狐浏览器Hackbar插件
二.准备工作
phpstudy环境搭建
(1)打开phpstudy并启动MySQL和Nginx
![](https://img-blog.csdnimg.cn/img_convert/bcc0b0b476f3d6da2989603b47108f24.png)
(2)进入网站打开管理并修改,将zbzcms.com放入www目录下
![](https://img-blog.csdnimg.cn/img_convert/6b706ef9cd14ad6dddafa9c29a631597.png)
![](https://img-blog.csdnimg.cn/img_convert/cccaca93c94481740086c13a316e22bf.png)
(3)启动浏览器并打开http://localhost/cms/cms/install/index.php
(之前安装完忘记保存截图了)
![](https://img-blog.csdnimg.cn/img_convert/5a6ff0f4f486bfb58f0ab82f19cc0eb6.png)
(4)后台(网址为http://127.0.0.1/cms/cms/admin/index.php)
![](https://img-blog.csdnimg.cn/img_convert/11af5716d566afaa9a09ab006d7fc7ef.png)
![](https://img-blog.csdnimg.cn/img_convert/e914900d8b8431abc7eb82f5fdadc914.png)
(5)发布电脑版前台
![](https://img-blog.csdnimg.cn/img_convert/e4141457df27291fb889cb8678500c2c.png)
(6)更新前台(前台网址为http://127.0.0.1/index.html)
![](https://img-blog.csdnimg.cn/img_convert/c2c4225e11992ef020d2a12fe408244d.png)
(7)火狐浏览器准备HackBar插件(实验必需,破解网址附上https://it3399.com/dnjs/217303.html)
![](https://img-blog.csdnimg.cn/img_convert/3f4888f0ab31c857d9b435913bcdddf2.png)
(8)Seay源代码审计系统下载(附上下载网址https://gitee.com/the_crime_of_overlying_water/cnseay?_from=gitee_search)
![](https://img-blog.csdnimg.cn/img_convert/b352249935dc136662244e6e2e0bebfb.png)
三.开始审计
任意文件删除漏洞
(1)先用审计工具自动审计一下
![](https://img-blog.csdnimg.cn/img_convert/33178b0afbd4f0bdcddd4e6b5949dcd0.png)
(2)找到相关漏洞
![](https://img-blog.csdnimg.cn/img_convert/e50f4651e4950e82825bbbf59573c5a0.png)
(3)查看详情
![](https://img-blog.csdnimg.cn/img_convert/eaba8e97f818cd3eec4522fa9b050295.png)
(4)分析
由分析得知,发现没有做任何的校验判断,$run从上面发现也是通过GET传的。
![](https://img-blog.csdnimg.cn/img_convert/dccf090fa823c934bfbb012afbee9d25.png)
(5)查看路径
![](https://img-blog.csdnimg.cn/img_convert/c24e0fc30fc249d4a1ddf84ad75e0079.png)
(6)在include目录下创建lhj.txt
![](https://img-blog.csdnimg.cn/img_convert/86e4e50e175489b94ec69a8bd0f7d7d4.png)
(7)构造一下
![](https://img-blog.csdnimg.cn/img_convert/5178b1fd3e1aac3177d5e81f8fe59e9f.png)
(8)返回文件夹include,发现lhj.txt已经被删除
![](https://img-blog.csdnimg.cn/img_convert/0a82745ce87508afe1a1602cc544092b.png)
前台储存xss漏洞
(1)找到相关漏洞
![](https://img-blog.csdnimg.cn/img_convert/c8ebf261de6d34d3433d2768e5c8a933.png)
![](https://img-blog.csdnimg.cn/img_convert/3d0c9bec83faef6fa546856ac979f4ed.png)
(2)分析
这处留言的地方的问题出现在neirong这个参数没有经过任何过滤就输出到了页面,并且还存入了数据库,所以导致后台查看的时候直接执行了。这处xss需要用POST的请求方法,因为从代码上可以看到 if的判断条件是$_POST 不为空,然后我们来到页面构造xss。
![](https://img-blog.csdnimg.cn/img_convert/382a7c16317c42c9ec54dd238bc9b9e4.png)
构造一下
![](https://img-blog.csdnimg.cn/img_convert/7803247b0f5180095a436efe62c36907.png)
登录后台查看留言
![](https://img-blog.csdnimg.cn/img_convert/54b2ab488b7873fcb5e647b7231896d2.png)
查看详情发现也会弹出
![](https://img-blog.csdnimg.cn/img_convert/1ae96f5c8f1eea176059d3176433331e.png)
3.任意文件写入漏洞
(1)找到相关漏洞
![](https://img-blog.csdnimg.cn/img_convert/3a929ba3939da3d8f7e719c083a08523.png)
(2)查看详情
![](https://img-blog.csdnimg.cn/img_convert/3fe60b0a9affb2ab52e10721801ee124.png)
(3)分析
这个文件是在admin目录下,相当于后台的。但是通过上面的权限控制发现,可以直接绕过,这登录判断相当于就没有。
(4)判断登录代码
![](https://img-blog.csdnimg.cn/img_convert/b50c488de18239217305acebcb1c239a.png)
(5)分析
如果run不等于这个值那么就会直接不判断。
(6)构造一下
![](https://img-blog.csdnimg.cn/img_convert/788bdff980859204f3ec87fbc1dcb994.png)
(7)打开admin目录发现会多出一个liuhongjiang.php文件
![](https://img-blog.csdnimg.cn/img_convert/38b98848615598e6562e7e7cefc342a3.png)
(8)执行liuhongjiang.php,发现可以成功写入并访问。
![](https://img-blog.csdnimg.cn/img_convert/1b3255d9cb5a3eb5e9cfd2ce6781deba.png)
完结撒花!