小朱订单管理系统的一个注入

好久没搞站了,工作太忙,时间虽然有点,但始终没有什么原创出来,还好90SEC能经常上来逛逛,上回变成实习的,真是吓了一跳。
经常搞购物站的人应该有遇到这么个订单管理系统的,是个收费的系统。。。
漏洞出现在订单处理页面dorder.php。

代码如下:

漏洞很明显,$ip处没有过滤,产生注入。

后台拿shell也很简单,可以直接插一句话的,在设置那儿有两处可以直接插直接写入文件。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录