微擎科技最新版某处无需登录sql注入

文件\payment\unionpay\notify.php

着重对

其实主要是对uni_setting进行查看。跟进uni_setting

继续跟进uni_setting_load

注意到

继续跟进pdo_get

持续跟进get

直接带入sql语句,没有过滤。直接上poc.

1

测试官方demo

1

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录