前语
前次的那篇文章《一名代码审计新手的实战阅历与感悟》得到了不少读者的支撑，也得到了FreeBuf这个渠道的必定，这给了我这个菜的不能再菜的小菜鸟很大的决心。可是，不足之处仍是许多，比方文章中呈现的技能写得不行深化等等（这究竟和个人实力挂钩的）因而，我决议尽我所能，尽量的写深化一点，每次写文章都深化一点，总有一天会深到很深的点。
本篇文章首要叙述我在zzcms8.2中发掘到的缝隙，freebuf上已经有大佬写了这个cms的代码审计，当然，其他的渠道也有人写了。所以，我已然写了，那么必定是与他们的文章有所不同，缝隙也不同，进犯办法也不同，让读者读有所获。（新手能够考虑细心看看，后半部分有关于新手来说十分精彩的进犯演示）
缝隙调集
目录跳转读取灵敏信息
在zzcms8.2/baojia/baojia.php的第四行，引证了zzcms8.2/inc/top.php这个文件，如图：

我其时追寻了一下这个文件，发现这个文件在引证的时分，首要就进行了if逻辑判别，而if逻辑判别中，又有可控变量。因而，我其时咋一看的时分，就很置疑这儿，感觉这儿总或许存在一些问题。如图：

所以，我就打开网页看了一下，趁便抓个包瞧瞧。成果一看，哎，有点意思，代码是假如承受post恳求，那么就履行跳转操作。而咱们自动发送的恳求是get，那就阐明这个缝隙黑盒是百分之八九十测不出来的。黑盒又不知道这儿竟然还或许有post恳求，就算测验post恳求，也不知道参数是什么，因为前端压根没有这儿的参数。


在我的上一篇文章中，我也有个感觉黑盒测不出来的缝隙，可是谈论区大佬有人留言说黑盒能测出来，我细心想了想，确实也有或许，因为其时那个缝隙前端能找到参数。
可是，这儿就不相同了，无法猜想。不可思议的我就对白盒有了点小骄傲，哈哈。回归主题，已然服务器端接纳post恳求，那么我就将get恳求包使用burpsuite改形成post恳求包。
将get恳求包的数据格式以及内容改成post之后，我先测验了结构xss，可是通过几回测验，发现被html编码，单引号被转义。这就很为难了。

所以转化思路，已然是跳转，那么能不能跳转到灵敏文件？或许跳转到长途文件呢？假如要按跳转思路，那么必需要进行切断。而在目录跳转中，问号伪切断比较通用，不受版别约束。
如图，我结构了这样的post恳求包：

因为进行了伪切断，所以我这儿履行的跳转便是跳转到服务器根目录，读取我本地的服务器根目录灵敏信息：

我不清楚实在的网站根目录下是否也会存在这样的缝隙，可是，假如存在，那么损害仍是挺大的。
比方，方针网站有cdn，可是你依据这个缝隙就可直接发现方针网站的实在IP，在本地进行域名和IP绑定后，就能够直接绕过cdn。
逻辑缝隙导致个人灵敏信息走漏
在zzcms8.2/baojia/baojiaadd.php的183-213行中，假如在用户的cookie中获取到用户名，那么将会提取出该用户名的个人信息，回显到浏览器页面。

比方公司名（这个感觉不重要），实在名字，手机号码，emai。后边这三个信息我个人感觉是很重要的。会使用的人能使用出各种把戏，这儿咱们只沟通技能，不谈那些不合法使用，因而这儿怎么使用这些信息我就不写了。
下图是我回显出的测验信息：

缝隙复现的办法十分简略，只需你设置COOKIE的UserName为数据库中实在存在的用户名，那么就会得到该用户的这些信息。
下图，浏览器中的cookie信息

下图，该王二狗用户在我的数据库中实在存在：

为了愈加谨慎一点的证明这个缝隙，我又注册了一个test2用户，而且注销了test2用户的登录。然后，结构恳求包：

[1] [2] [3] [4] [5]  黑客接单网