Tccms sql注入一枚。(绕过防护机制)

文章目录

漏洞作者: roker

直接看到/app/model/attackAction.class.php这个文件

对于get类型的处理。跟进StopAttack

记录下attack然后发送邮件- -。继续看到 safe_replace

替换关键字为空。sql的话 remove_xss函数我们无视就好了。影响不大。

我们找一个 执行sql语句的文件

像这个。/app/controller/news.class.php

注册用户

get数据 http://localhost/index.php?ac=news_all&yz=1 aananddnd exists (selseselectlectect username from tc_user where ooorrrd(substring(username from 1 fooorrr 1))=97)%23。

在两次safe_replace后。 还原了我们的语句

062157456c645ecfa2f803665d13cce2add42f8c

 

虽然记录了 attack到了数据库 但是语句还是执行了的。

写个脚本循环替换 for x to 1 和 =97(+ -)的值 分分钟就可以获取到管理账号密码了。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录