代码审计

微擎科技最新版某处无需登录sql注入

字号+ 作者:0day5 来源:转载 2016-12-27 09:58 我要评论( )

文件\payment\unionpay\notify.php lt;?php/***[WeEngineSystem]Copyright(c)2014WE7.CC*WeEngineisNOTafreesoftware,itunderthelicenseterms,visitedhttp://www.w......

文件\payment\unionpay\notify.php

着重对

其实主要是对uni_setting进行查看。跟进uni_setting

继续跟进uni_setting_load

注意到

继续跟进pdo_get

持续跟进get

直接带入sql语句,没有过滤。直接上poc.

1

测试官方demo

1


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/hack/Code/501.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~