网站后台php一个cms注入点分析(图)×2:后台SQL注入网站php后台
2022-06-22
最近一直在研究的框架,今天找了一个用于审计的cms网站后台php,发现了两个注入点网站后台php,可以分析一下。按照官网要求安装。安装完成后seo优化,我们先来了解一下网站目录结构:
0x1:代码审计
基于.2?m=&c=&a=/Home//开发的.php没有好看的访问方式网站优化,先看看TP存在的各种问题3.2. x.
0x2:日志泄漏
.2 结构:\\Logs\Home\.log
.2 分析:项目名称\\Logs\Home\.log
直接访问:////Logs/Home/.log 成功回显。
0×3:后台 SQL 注入
位于 /.php?m=&c=&a=
id[]=id=1+or+(5)成功延迟。
第二次注入/.php?m=&c=&a=
poc /.php?m=&c=&a=&id[]=id=3%%(5)--+1
可以看到延迟注入成功了。
