方维团购系统注入

\\app\source\user_init.php

然后在app\source\func\com_user_func.php

code
在X-Forwarded-For里面做加参数就达到了注入的目的。事实上我只是判断出了存在注射,但是没有exp的说。
官方的实例网站
fan

仔细想想,直接获取IP带入数据库,是否还有xss的功能呢,顺带IP欺骗

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录