Espcms wap模块SQL注入

变量的传递过程是$_SERVER[‘QUERY_STRING’]->$urlcode->$output->$value->$db_where->$sql->mysql_query,整个过程无过滤导致了注入的发生。

正因为变量是从$_SERVER[‘QUERY_STRING’]中去取的,所以正好避开了程序的过滤。

而注入的变量是数组的值,并非数组的key,所以也没过被过滤,综合起来形成了一个比较少见的SQL注入。

在/interface/3gwap_search.php文件的in_result函数中:

因此若传入数组且key经过构造的话,可以达到SQL注入的目的

PoC:

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录