前言

事情发生在一个阳光明媚的夜晚,我对某站进行了一波御剑,发现了一个根目录下存在一个wwwroot.zip文件,乐了乐了,这一看就是源码啊,果断下载下来,审计了一波。

后台的漏洞就不说了,给大伙看看几个高危的前台的漏洞,漏洞已经提交CNVD

第一个SQL注入

首先打开了根目录下的admin.php,发现他引入了两个配置文件,跟进去看一下。在common.inc.php的20到31行发现了对传参做了一下处理,并且把每个传进来的参数都赋值给了对应的变量

跟入stripSQL参数,可以发现他就是做了一个简单的对sql注入的过滤

点击收藏 | 1 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖