Fiyo CMS是小型的商务电话服务及移动协作东西，由一名前职业学校学生初次开发和创立的，后者其时在RPL的SMK 10三宝垄学习。 那时他的姓名不是Fiyo CMS，而是Sirion，它是Site Administration的首字母缩写。
PS：尽管网上有一些剖析文章，可是通过本次审计，仍是发现了一些其他的缝隙，再次做个总结，缝隙触发进程均以gif图片来展现。
审计缝隙
恣意文件删去
缝隙文件方位：dapurappsapp_configcontrollerbackuper.php ，实际上这个cms多处都存在这个问题。

能够十分清晰的看到这个程序供的大部分功用都是用于备份，可是POST传过去的参数又不通过过滤直接和途径进行拼接(第10行)，导致途径穿越，再结合 unlink 函数就导致了恣意文件删去。下面看这个的进犯demo：

点击查看原图
SQL注入点
注入点一：
该cms的update办法中存在SQL注入，能够看到程序对变量 $where 直接进行了拼接，详细代码如下：

举个比如，咱们对 dapurappsapp_usercontrollerstatus.php 文件进行SQL注入，这儿直接用sqlmap进行验证，后台用户身份，拜访链接 http://192.168.43.229/fiyocms/dapur/apps/app_user/controller/status.php?stat=1&id=1 保存恳求包为 headers.txt ，将参数 id=1 改成id=1* ，然后运用指令sqlmap -r headers.txt –batch –dbs ，作用如下：

注入点二：
待绕过
POST /fiyocms/dapur/index.php?app=menu&view=edit&id=126'`test%23&theme=blank HTTP/1.1
Host: 192.168.199.229
Content-Length: 10
Accept: */*
Origin: http://192.168.199.229
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://192.168.199.229/fiyocms/dapur/index.php?app=menu&view=controller
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=dl8r6oo3lmi0c8lr5upveckl11
Connection: close
blank=true
呼应成果
string(55) "SELECT id FROM fiyo25_menu WHERE id='126`test#' LIMIT 1"
缝隙文件在systemfunction.php 中的 oneQuery 办法。
function oneQuery($table,$field,$value,$output = null) {
    $value = str_replace("'","",$value);
    $query = FQuery($table,"$field='$value'",$output,null,null,$output,1);
    return $query;   
}

文件读取缝隙
这儿只能读取后缀为：html、htm、xhtml、js、jsp、php、css、xml 的恣意文件，缝隙文件在 dapurappsapp_themelibscheck_file.php 中，第5行代码未对$_GET[src] 和 $_GET[name] 变量进行过滤，导致途径穿越，结合 file_get_contents 函数，形成文件读取缝隙。

作用如下：

恣意文件上传缝隙
这个缝隙是在登录后台的时分，发现有个文件办理的功用。所以查看了一下程序源代码，公然没有过滤。看下图最终四行代码，又是途径穿越，也不查看文件后缀名。

作用如下：

CSRF增加超级用户
缝隙方位 dapurappsapp_usersys_user.php ，代码如下：

[1] [2]  黑客接单网