黑客教你查询某人位置(黑客淘宝暗语)

黑客教你查询某人位置(黑客淘宝暗语)中秋节到了,这里我送上phpcms2008的一枚注射漏洞!!希望各位朋友多多支持本站啊~~ 漏洞存在于ask/search.php文件,以下是漏洞代码: if($keywords) { $where .= " AND title LIKE %$keywords%"; } $infos = $ask->listinfo($w

中秋节到了,这里我送上phpcms2008的一枚注射漏洞!!希望各位朋友多多支持本站啊~~ 

漏洞存在于ask/search.php文件,以下是漏洞代码: 

if($keywords) 

$where .= " AND title LIKE '%$keywords%'"; 

$infos = $ask->listinfo($where, 'askid DESC', $page, 20); 
下面我们来看看listinfo()过程的代码: 

function listinfo($where = '', $order = '', $page = 1, $pagesize = 50) 

if($where) $where = " WHERE $where"; 
if($order) $order = " ORDER BY $order"; 
$page = max(intval($page), 1); 
$offset = $pagesize*($page-1); 
$limit = " LIMIT $offset, $pagesize"; 
$r = $this->db->get_one("SELECT count(*) as number FROM $this->table $where"); 

Oh yeah!!注射漏洞就这么产生了,以下是测试语句: 

http://demo.phpcms.cn/ask/search.php?keywords=蟎' 

  • 发表于 2020-12-07 11:03
  • 阅读 ( 393 )
  • 分类:互联网

0 条评论

请先 登录 后评论
青花瓷
青花瓷

719 篇文章

你可能感兴趣的文章

相关问题

网站首页 最近更新 点击排行 热门推荐