出现在core/function.inc.php中
由于系统给了加解密的方式,我只要拿到密文就可以构造注入了,由于加密后无视所有waf
我们来找一处试试
查看用户那里
可以看到user_id没有单引号包含,就算包含也没所谓,反正无视gpc和waf
脚本来构造下,因为密钥是固定的
![QQ截图20150820001142.jpg](../upload/201508/200012492db6452184e5cb67d762ab84ba1c99f4.jpg)
838cOrPDhhyriQoFaRRiPqbbAYSTtouOtn7WvPp2rw
带入cookie看看
![QQ截图20150820001246.jpg](../upload/201508/20001333e174eda1768e18df0125a26533cc5813.jpg)
成功带入单引号,我们试试and 1=1(原谅我不会写exp这个别名语句)
![QQ截图20150820002402.jpg](../upload/201508/200024490cdbd8a39b8b2fc2d7011031ed8ce845.jpg)
构造得出b593ULDqUXh/Qhm0YL6mHaHkdvIGOh7C7aqpfK5LIMo2DSlPV2or
带入成功
![QQ截图20150820002348.jpg](../upload/201508/200025213664522eb71576a4323ae88786f50f9d.jpg)
分析就到这里了
出现在core/function.inc.php中
由于系统给了加解密的方式,我只要拿到密文就可以构造注入了,由于加密后无视所有waf
我们来找一处试试
查看用户那里
可以看到user_id没有单引号包含,就算包含也没所谓,反正无视gpc和waf
脚本来构造下,因为密钥是固定的
![QQ截图20150820001142.jpg](../upload/201508/200012492db6452184e5cb67d762ab84ba1c99f4.jpg)
838cOrPDhhyriQoFaRRiPqbbAYSTtouOtn7WvPp2rw
带入cookie看看
![QQ截图20150820001246.jpg](../upload/201508/20001333e174eda1768e18df0125a26533cc5813.jpg)
成功带入单引号,我们试试and 1=1(原谅我不会写exp这个别名语句)
![QQ截图20150820002402.jpg](../upload/201508/200024490cdbd8a39b8b2fc2d7011031ed8ce845.jpg)
构造得出b593ULDqUXh/Qhm0YL6mHaHkdvIGOh7C7aqpfK5LIMo2DSlPV2or
带入成功
![QQ截图20150820002348.jpg](../upload/201508/200025213664522eb71576a4323ae88786f50f9d.jpg)
分析就到这里了