您的位置 首页 php

zzzphp save.php save_content方法下sql注入

在本地搭建服务器,httpd-vhosts.conf 中设置本地绑定的域名:

其中,zzzphp为下载的zzzphp cms的内容。

然后,本机上的zzzphp cms的目录结构为如下:

在按照要求安装好cms后,本地cms的后台地址访问地址为admin264.

在登陆后台后,使用postman发送如下请求:

必须在 cookie 中设置登陆服务器后返回的cookie值,否则执行将失败:

该cookie值在成功登陆服务器后台后会自动获得。

在postman中绑定cookie之后,发送请求:

本地绑定的域名]/[后台地址]/save.php?act=content

需要注意的是,需要在act中传参数act=content。

使用post传的参数中其他都是无关项,但是c_content为关键项。

c_content参数需要先使用单引号和括号闭合语句,然后插入想要执行的sql语句,

这里c_content的值为content’,1,9);create database kaixinjiuhao;//

开始在 phpstorm 中进行跟踪:

可以看见此时$act=”content”,继续跟进:

然后在phpstorm中跟踪,跟踪到save_content()方法:

其中getform函数为获得我们之前通过post提交的各种参数,需要注意的是$c_content参数

此时,$c_content参数的取值貌似被转义,但是不用着急,往下看。

在第299行,$c_pagedesc参数在post不传值的情况下,成功获得我们输入的$_content的值,并且该值未经过转义:

继续跟踪,在第237行执行db_insert函数,跟进:

然后在在db_insert函数的第243行执行db_exec函数,继续跟进:

最后$d->exec($sql)执行命令。

最后postman返回消息:

继续往下执行,postman接收到返回回来的数据:

可见命令执行成功。

最后,可以成功在数据库中找到新创建的kaixinjiuhao数据库:

证明sql语句执行成功。

同理,save_content()函数中的$c_title2同样在post请求未传值时从$c_title处获取值,也存在sql注入的风险。

文章来源:智云一二三科技

文章标题:zzzphp save.php save_content方法下sql注入

文章地址:https://www.zhihuclub.com/78311.shtml

关于作者: 智云科技

热门文章

评论已关闭

1条评论

网站地图