审计一波appcms-持续更新。

废话

看到土司大牛都在审计，作为彩笔也要审计下去。该文章置顶持续更新。大家有啥可以评论区交流。

先对其目录进行分析

-admin/ #后台文件
    -
    -
-cache/ #缓存目录
-core/ #核心文件
    -config.php
    -以及一些配置文件
-data/ #数据目录
-install/ #安装目录
-templates #模板目录
-upload #上传目录
-.htaccess
-404.html
-comment.php
-download.php
-getcode.php
-httpd.ini
-index.php
-nginx.conf
-pic.php
-temp.php
-web.config

疑为命令执行：index.php

 

xss

admin/templates/tpl_app.php