漏洞描述 熊海CMS 是由熊海开发的一款可广泛应用于个人博客，个人网站，企业网站的一套网站综合管理系统。 其采用前后端整合设计思路，php，Apache，mysql，前端使用Bootstrap和少许jquery前端框架开发； 网站样式设计简洁大方，整体功能点并不多，但功能正好够用；拥有一个前端客户端访问界面和一个完备的后台管理系统，并支持移动客户端访问； 免责声明 技术文章仅供参考，任何

2014年1月18日开始注册域名。那时候连HTML都只会一点点。 那时候的第一个版本是我找的一个留言板。我记得是“深山留言版ASP”的，只是因为别人ASP简单一点，容易学。现在想来，只能说自己那时候太年轻了。 姑且叫做0版本吧，以为那时候的自己还刚入门。修改谈不上，只是想去下版权，然后弄成自己的。那个冬天，熬夜基本是常事。哪个版本我没截图。也就带过去算了。 2014年2月，第二个版本，flash

熊海CMS 靶场 0x01 前言 初步了解cms，Content Management System 内容管理系统。它是一种用于创建、编辑、管理和发布内容的软件程序或工具。内容管理系统通常用于网站、博客、企业内部系统等各种应用中，可以帮助用户管理和发布各种类型的内容，如文章、图片、视频、文件等。 进行PHP代码审计，代码审计是一种白盒测试，以发现程序错误，安全漏洞和违反程序规范为目标的源代码

目录 环境搭建开始找洞洞反射XSS存储XSSsql注入sql注入+登录绕过sql注入未授权及越权漏洞疑似存在点 环境搭建 熊海cms下载地址：http://js.down.chinaz.com/201503/xhcms_v1.0.rar 作者用的是5.4.x的php版本，mysql数据库环境非GBK 安装好环境先，数据库用户名密码，跟本地数据库一致 利用seay自动