espcms 二次注入一枚

Author:Yaseng

1:通过 $alias 二次注入来控制sql

用户昵称 $alias 从数据库查询出来 未过滤

interface/member.php

//查询出来时 无 addcslashes 可造成二次注入

虽然cookie 加密 无法逆向,但是已经可以通过控制 $alias 来生成 某些sql 进行注入

2:$this->ec_member_username 注入

public\class_connector.php 文件 中

$this->ec_member_username 利用 1 来控制 sql (无视 gpc ,无视单引号)

随便找到一个调用 $this->ec_member_username 的地方

如 interface\membermain.php 文件中 修改密码处

调用了 $this->ec_member_username 可以进行注入

3:注入利用

经过 1,2 分析 一次完整的注入攻击

登录 => 编辑资料(写入注入 payload) =>退出 =>登录 =>设置cookie(ec_member_username =ecisp_member_info)=> 修改密码 => sql 注入

比如我要修改 所有会员的密码

编辑资料 昵称处填写 ‘ or 1=1 # 然后重新登录 修改cookie中 ec_member_username 的值为 ecisp_member_info的值

新旧密码不要相同 此时的 sql 语句为:

打完收工

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录