还是INSERT注入,/index.php下有一个stats::getbot();这个方法在做什么呐?
/lib/table/stats.php
看geturl()方法:
REQUEST_URI是不会自动urldecode一次的,而新一点的浏览器都会自动编码,所以在命令行下curl最佳:
比如:
CmsEasy默认不报错,这点很好,所以想真正获取点数据啥的估计得用sqlmap延时了,只做分析
当然,以上过程是在发现注入点之后又补充的...直接REQUEST_URI,HTTP_USER_AGENT扫到的