参考资料:
http://www.freebuf.com/vuls/170337.html
看到这篇代码审计的文章,决定自己也动手实验一下。
漏洞位置:
D:\phpStudy\WWW\hdwiki\lib\string.class.php
string.class.php
当没有开启GPC的时候,系统会使用addslashes函数进行转义。
当开启GPC,直接返回字符串,而gpc开启只会过滤$_POST、$_GET、$_COOKIE三种全局变量。
那也就是说除了这三个全局变量之外的变量是没有经过过滤的。
在user.class.php这个文件里面,$_SERVER['HTTP_REFERER']正好符合这个要求。
user.class.php
该参数没有经过任何过滤更新进数据库中,SQL注入由此产生。而且是通过获取cookie中的where条件中的sid值来更新。
在user.php页面中,add_referer方法被完美调用。
user.php
也就是在登录的地方。
漏洞利用:
当用户没有登录进去的时候,
sid
看数据库。
再试试登录进去访问该地址。将请求url地址修改一下。
cookie
再看数据库
success
ok!!!可以控制利用。
延时注入,添加payload:
success
网友评论