直接看到/app/model/attackAction.class.php这个文件
对于get类型的处理。跟进StopAttack
记录下attack然后发送邮件- -。继续看到 safe_replace
替换关键字为空。sql的话 remove_xss函数我们无视就好了。影响不大。
我们找一个 执行sql语句的文件
像这个。/app/controller/news.class.php
注册用户
get数据 http://localhost/index.php?ac=news_all&yz=1 aananddnd exists (selseselectlectect username from tc_user where ooorrrd(substring(username from 1 fooorrr 1))=97)%23。
在两次safe_replace后。 还原了我们的语句
虽然记录了 attack到了数据库 但是语句还是执行了的。
写个脚本循环替换 for x to 1 和 =97(+ -)的值 分分钟就可以获取到管理账号密码了。