黑客教你查询某人位置(黑客淘宝暗语)

黑客教你查询某人位置(黑客淘宝暗语)

黑客平台hacker2020-10-29 8:00:0011635A+A-

中秋节到了,这里我送上phpcms2008的一枚注射漏洞!!希望各位朋友多多支持本站啊~~ 

漏洞存在于ask/search.php文件,以下是漏洞代码: 

if($keywords) 

$where .= " AND title LIKE '%$keywords%'"; 

$infos = $ask->listinfo($where, 'askid DESC', $page, 20); 
下面我们来看看listinfo()过程的代码: 

function listinfo($where = '', $order = '', $page = 1, $pagesize = 50) 

if($where) $where = " WHERE $where"; 
if($order) $order = " ORDER BY $order"; 
$page = max(intval($page), 1); 
$offset = $pagesize*($page-1); 
$limit = " LIMIT $offset, $pagesize"; 
$r = $this->db->get_one("SELECT count(*) as number FROM $this->table $where"); 

Oh yeah!!注射漏洞就这么产生了,以下是测试语句: 

http://demo.phpcms.cn/ask/search.php?keywords=蟎' 

(责任编辑:网络)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理