看到
inc/group_user_list/group_xml.php
$groupid没有被双引号包裹,然后造成注入。然后$groupid来自于$pararr['groupid'];其中经过了$explodestpar这个函数
在这里经过了base64_decode 所以不受GPC影响,而且泛微安装完成之后mysql是root,可以直接写文件。这样就可以完美的getshell了。
首先我们要构造如何的数据
然后base64_encode一下。
可以看到php报错了。
然后我们构造写shell的语句。要注意的是sql语句里面不能含有:号。
然后我们构造如下exp
base64一下
小问题 可以遍历所有用户名