********************************** ** ZZCMS产品版目录结构 ** **********************************/install 安装程序目录(安装时必须有可写入权限)/admin 默认后台管理目录(可任意改名)/user 注册用户管理程序存放目录/skin 用户网站模板存放目录;更多用户网站模板可从http://www.zzcms.net/skin.asp 下载/template 系统模板存放目录;更多系统模板可从http://www.zzcms.net/template.asp 下载/inc 系统所用包含文件存放目录/area 各地区显示文件/zs 招商程序文件/dl 代理/zh 展会/company 企业/job 招聘/zx 资讯/special专题/pp 品牌/wangkan 网刊/ask 问答/zt 注册用户展厅页程序/one 专存放单页面,如公司简介页,友情链接页,帮助页都放在这个目录里了/ajax ajax程序处理页面/reg 用户注册页面/3 第三方插件存放目录 /3/ckeditor CK编缉器程序存放目录 /3/alipay 支付宝在线支付系统存放目录 /3/tenpay 财富通在线支付系统存放目录 /3/qq_connect2.0 qq登录接口文件 /3/ucenter_api discuz论坛用户同步登录接口文件 /3/kefu 在线客服代码 /3/mobile_msg 第三方手机短信API /3/phpexcelreader PHP读取excel文件组件/cache 缓存文件/uploadfiles 上传文件存放目录/dl_excel 要导入的代理信息excel表格文件上传目录/image 程序设计图片,swf文件存放目录/flash 展厅用透明flash装饰动画存放目录/js js文件存放目录/html 静态页存放目录/favicon.ico 地址栏左侧小图标文件/web.config 伪静态规则文件for iis7(万网比较常用)/httpd.ini 伪静态规则文件for iss6/.htaccess 伪静态规则文件for apache先看一下入口文件:index.php:
引用配置文件,还有调用模板
先跟过去看看配置文件吧:
top_index.php
1:打开模板
$fp返回值是否为true
if (file_exists($fp)==false){echo $fp.' no this template';exit;2:还有一个我觉得奇怪的点:
$channel=strtolower($_SERVER['REQUEST_URI']);
能够传入我们请求的url,注意一下看看后面的文件有没有可控的点
3:这个页面对username和password的cookie做了过滤,伪造应该不行了
bottom.php:
定义function sitebottom()函数
引用模板
label.php:
调用其他文件
留意一下这个页面show.php
其他页面暂时没看到啥
下午继续看2333
