前几天看了水泡泡老哥的zzcms的审计,在论坛上一搜发现这个cms有不少洞.听说很适合小白练手,所以来瞅一瞅.不知道我发现的这个洞是不是已经被爆过了,如果雷同,纯属巧合. 一.Insert注入,直接返回数据 先从默认页index.php入手: 跟进inc/conn.php看一下: 发现include了好多文件,可以看一下每一行的注释,大多数都是定义一些常量.只有inc/function.php和inc/stopsqlin.php不是.先进入function.php看一下,大都是一些公用函数的定义…