zzcms代码审计

框架目录

/install 安装程序目录（安装时必须有可写入权限）
/admin 默认后台管理目录（可任意改名）
/user 注册用户管理程序存放目录
/skin 用户网站模板存放目录;
/template 系统模板存放目录;
/inc 系统所用包含文件存放目录
/area 各地区显示文件存放目录
/zhaoshang 招商程序文件存放目录
/daili 代理
/zhanhui 展会
/company 企业
/job 招聘
/zixun 资讯
/special专题
/pinpai 品牌
/wangkan 网络刊物
/zhanting 注册用户展厅页程序
/one 专存放单页面，如公司简介页，友情链接页，帮助页都放在这个目录里了
/ajax ajax程序处理页面
/reg 用户注册页面
/3 第三方插件存放目录
  /3/ckeditor CK编缉器程序存放目录
  /3/alipay 支付宝在线支付系统存放目录
  /3/tenpay 财富通在线支付系统存放目录
  /3/qq_connect2.0 qq登陆接口文件
  /3/ucenter_api discuz论坛用户同步登陆接口文件
  /3/kefu 在线客服代码
  /3/mobile_msg 第三方手机短信API
  /3/phpexcelreader PHP读取excel文件组件
/cache 缓存文件放目录
/html 生成的静态页存放目录
/uploadfiles 上传文件存放目录
/daili_excel 要导入的代理信息excel表格文件上传目录
/image 程序设计图片,swf文件存放目录
/flash 展厅用透明flash装饰动画存放目录
/js js文件存放目录
/web.config 伪静态规则文件适用于 iis7服务器(万网比较常用)
/httpd.ini 伪静态规则文件适用于 iis6服务器
/.htaccess 伪静态规则文件适用于Apache 服务器
/nginx.conf 伪静态规则文件适用Nginx服务器

前台任意文件写入

使用Fortify自动审计工具时发现可能存在一个xxe漏洞，

xml_parse解析xml文档，搜索他的方法parse

发现xml_unserialize对parse()函数进行了调用，再去搜索

这里是从post中获取原始的数据流

上面的ertuparse_Str是将解码后的字符串解析为变量并存储在$get中，而上面的$code可控，而$code经过_authcode的处理，跟进一下发现大概是加解密字符串的,$string是需要加解密的字符串，也就是$code，$operation 默认为DECODE也就是解密字符串，而 $key 则为加解密的秘钥。