第一处在
在enquiry.php中
这里会把提交的数据转义,但是当$tsn不是数组的时候是这样的
$temp = "wooyun"
$temp[0]的值为w
playload构造:
直接提交$tsn=\
截到的sql语句是
![360截图20150830005055174.jpg](../upload/201508/30005148f58c030cc9f19fdfa3b9a529514bb34b.jpg)
第二处在order.php中
这里会把提交的数据转义,但是当$tsn不是数组的时候是这样的 $temp = "wooyun" $temp[0]的值为w playload构造: 直接提交$tsn=\的话经过gpc会变成\\ ,那样截取了第一个\就成了\
他新加了个tokenkey,然而并没有什么卵用。 截到的sql语句是
![360截图20150830010611092.jpg](../upload/201508/300108144e7d4b2c97a35e21b0fd92152ba94359.jpg)
第一处在
在enquiry.php中
这里会把提交的数据转义,但是当$tsn不是数组的时候是这样的
$temp = "wooyun"
$temp[0]的值为w
playload构造:
直接提交$tsn=\
截到的sql语句是
![360截图20150830005055174.jpg](../upload/201508/30005148f58c030cc9f19fdfa3b9a529514bb34b.jpg)
第二处在order.php中
这里会把提交的数据转义,但是当$tsn不是数组的时候是这样的 $temp = "wooyun" $temp[0]的值为w playload构造: 直接提交$tsn=\的话经过gpc会变成\\ ,那样截取了第一个\就成了\
他新加了个tokenkey,然而并没有什么卵用。 截到的sql语句是
![360截图20150830010611092.jpg](../upload/201508/300108144e7d4b2c97a35e21b0fd92152ba94359.jpg)