- 发布时间:2016-11-25
- 公开时间:N/A
- 漏洞类型:sql注入
- 危害等级:高
- 漏洞编号:xianzhi-2016-11-61726270
- 测试版本:N/A
漏洞详情
app/system/include/compatible/metv5_top.php 行27
$PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME'];
$PHP_SELFs = explode('/', $PHP_SELF);
$query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'";
$column = DB::get_one($query);
$_SERVER['PHP_SELF']跟$_SERVER['SCRIPT_NAME']不同 前者包括pathinfo
比如
/index.php/something/else
$_SERVER['SCRIPT_NAME']就是index.php
而$_SERVER['PHP_SELF']是/index.php/something/else
这里explode之后进入了sql语句 造成注入 找一个包含的地方就可以了
测试方法:
由于metinfo默认没显错 这里注入点也没输出 所以用延时或者类似cloudeye.me的方法来做
需要适当编码
wireshark抓个包证明下吧
view.png
0x726f6f74406c6f63616c686f7374=root@localhost
