- 發(fā)布時間:2016-11-25
- 公開時間:N/A
- 漏洞類型:sql注入
- 危害等級:高
- 漏洞編號:xianzhi-2016-11-61726270
- 測試版本:N/A
漏洞詳情
app/system/include/compatible/metv5_top.php 行27
$PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME'];
$PHP_SELFs = explode('/', $PHP_SELF);
$query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'";
$column = DB::get_one($query);
$_SERVER['PHP_SELF']跟$_SERVER['SCRIPT_NAME']不同 前者包括pathinfo
比如
/index.php/something/else
$_SERVER['SCRIPT_NAME']就是index.php
而$_SERVER['PHP_SELF']是/index.php/something/else
這里explode之后進入了sql語句 造成注入 找一個包含的地方就可以了
測試方法:
由于metinfo默認沒顯錯 這里注入點也沒輸出 所以用延時或者類似cloudeye.me的方法來做
需要適當編碼
wireshark抓個包證明下吧
view.png
0x726f6f74406c6f63616c686f7374=root@localhost
