=-=！本人属菜鸟级只能写基础文章 高手勿笑

想不到之前随意写了个文章那么多人欣赏

希望借此机会恳求论坛大牛们每个月花1小时不到的时间写一下文章 发表下感想 帮帮我们这些迷途小羔羊

还是那句 只发土司 禁止转载 纯属又长又臭 高手们没耐烦看的可以一笑而过

以下内容或许挖不到洞 但会说明如果这里代码会是怎么写 会存在如何漏洞（纯属个人经验........）

那么这次找个全面点的系统去研究 最终选择了一个叫野草CMS的程序 因为有后台 有会员 比较全面的网站系统

那么大家先看文章的文件结构

第一个compiles 顾名思义就是编制我们理解为缓存文件把 一般来说是不能直接运行的

第二个images 放图片的 基本来说这个目录是没有用的

第三个includes 放函数的 文件调用的函数都在这里找 这里非常有用 等同核心文件

第四个languages 语言文件 一般来说很难利用 除了包含漏洞（语言文件）或后台上传语言文件

第五个scripts 看名字就知道 是放JS的JS不能执行 或许能查看JS是否调用了另外他的网站 试试渗透

第六个styles 样式 完全可以忽略 没有任何利用

第七个templates 模版目录 如果设置了目录权限不能写PHP文件 一般来说可以覆盖这些模版文件执行

第八个uploads 就是上传文件 有上传漏洞的都往这里跑了。。。。。

然后到文件

admin.php 估计就是后台管理页面authcode.php 验证码（要发动CC攻击就往这个文件打把） 一般来说这个文件不会有漏洞

channel.php 列表频道什么的 都是输出用户看comment.php 评论 想当年DEDE死在这里

content.php 也是输出用户看的把feedback.php 留言板 最有可能注入的地方。。。。

index.php 首页。。。。没了可不行哦install.lock 安装文件member.php 会员 多数CMS死在这里

page.php 翻页。。。search.php搜索sitemap.php地图vote.php 投票

说明一下install.lock这个文件 在没安装之前是install.php 安装完毕后自动改名字了

如果有些CMS没有改名字 或许可以看下代码开头是否有if is