某非法网站代码审计

言吾
8823言吾首席执行运营官
思路技巧 2019-04-20 20:10:58
8823 思路技巧 2019-04-20 20:10:58
前言
看到阿皮最近这么努力的审代码,我也开始了审计之路
漏洞
代码是从网上找的,整个cms写的是相当糟糕

后台登陆处SQL注入
/administrator/login.php

图片:1.png


可见,第五行和第六行接收到了账号和密码
第七行直接带入查询了,没有任何过滤,其实,整个cms都没有对sql查询进行过滤

图片:2.png


图片:3.png



cookie注入
administrator/cookies.php

图片:4.png


第七行和第十行从cookie中获取到值,然后在第十七行,直接带入查询
我们手动在cookie中添加两个变量

图片:5.png


图片:6.png




三、篡改cookie进后台
本部分内容设定了隐藏,需要回复后才能看到

成功登陆
以皮为目标,good good study,day day up!!!
内容首发圈子社区,转发自圈子社区内的蚁安官方团队人员的ID,已经过作者同意。本文原创作者:蚁安网-无心
本文标题:某非法网站代码审计
本文作者:言吾
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t3020.html
misato1986
沙发misato1986黑客小白 04-27 09:51
学习学习
Fynn
板凳Fynn黑客小白 05-19 13:54
观摩观摩
tiantianya
地板tiantianya菜鸟高手 07-25 17:48
111
111
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan