74CMS Sql 注入漏洞一枚1

摘要

漏洞 作者： ′ 雨。 在user/user_pms.php中 elseif($act=="add_save") { $setsqlarr['msgtype']=2; $setsqlarr['msgfrom']=trim($_SESSION['username']); $setsqlarr['msgfromuid']=intval($_SESSION['uid']); $toname=trim($_GET['toname']); $setsqlarr['message']=trim($_GET['msg']); if (strcasecmp(QISHI_DBCHARSET,"utf8")!=0) { $toname=iconv("utf-8",QISHI_DBCHARSET,$toname); $setsqlarr['message']=iconv("utf-8",QISHI_DBCHARSET,$setsqlarr['message']); } $msgtouser= $db->getone("select * from ".table('members')." where username = '{$toname}' LIMIT 1");
虽然会转义 但是会转成gbk 所以就无视啦。

怎么来回显数据呢?

注册两个账户 然后给另外一个uid发送消息。

就可以拿到信息了。 

漏洞作者： ′ 雨。

在user/user_pms.php中

elseif($act=="add_save")  {   $setsqlarr['msgtype']=2;   $setsqlarr['msgfrom']=trim($_SESSION['username']);   $setsqlarr['msgfromuid']=intval($_SESSION['uid']);   $toname=trim($_GET['toname']);   $setsqlarr['message']=trim($_GET['msg']);   if (strcasecmp(QISHI_DBCHARSET,"utf8")!=0)   {   $toname=iconv("utf-8",QISHI_DBCHARSET,$toname);      $setsqlarr['message']=iconv("utf-8",QISHI_DBCHARSET,$setsqlarr['message']);   }   $msgtouser= $db->getone("select * from ".table('members')." where username = '{$toname}' LIMIT 1");

虽然会转义 但是会转成gbk 所以就无视啦。

怎么来回显数据呢?

注册两个账户 然后给另外一个uid发送消息。

就可以拿到信息了。 

首先给另外一个号发送消息 然后登录另外一个号 查看消息。

注入成功 有图有真相。