【免费】Axublog1.1.0c_login.php存在sql注入漏洞1资源-CSDN文库

sql

需积分: 0 109 浏览量 2022-08-03 22:50:14 上传评论收藏 336KB PDF 举报

资源详情

资源评论

资源推荐

Axublog 1.1.0 c_login.php存在sql注入漏洞

Axublog是一款PHP个人博客系统。 Axublog（c_login.php）存在SQL注入漏洞。攻击者可利用漏洞，

直接进行注入，获取数据库敏感信息。

漏洞分析：漏洞出现在后台登录验证的部分。首先看后台登录页面代码、www/ad/login.php

首先看 user 和 psw 参数没经过然后过滤直接是 post 传递过来的值。继续跟踪登录验证函数，

jsloginpost 。jsloginpost 方法定义在文件 www/ad/c_login.php 第74行。

<?php

include_once("all.php");

header("Content-type:text/html;charset=utf-8");

@$user=$_POST["user"];

@$psw=$_POST["psw"];

@$loginlong=$_POST["loginlong"];

@$g=$_GET["g"];

 switch ($g)

 {

 case "jsloginpost":jsloginpost();break;

 case "exit":loginexit();break;

default:index();break;

 }

function index(){

global $codename,$codeversion,$codeurl;

function jsloginpost(){

global $tabhead;

global $txtchk;

@$user=$_POST["user"];

@$psw=$_POST["psw"];$psw = authcode(@$psw, 'ENCODE', 'key',0);

@$loginlong=$_POST["loginlong"];

$chk=sqlguolv();

if($chk==1){

$json_arr = array("jieguo"=>"<div id=redmsg>登录失败：发现非法字符！</div>");

$json_obj = json_encode($json_arr);

echo $json_obj;die();

}

#-------

#setcookie("lggqsj",date('Y-m-d H:i:s',time()+$loginlong), time()+60*60*24,"/;

HttpOnly" , "",'');

$tab=$tabhead."adusers";

$chk=" where adnaa='".$user."' and adpss='".$psw."' ";

mysql_select_db($tab);

$sql = mysql_query("select * from ".$tab.$chk);

if(!$sql){$jieguo="<div id=redmsg>(数据库查询失败!)</div>";}else{

$num=mysql_num_rows($sql);

本内容试读结束，登录后可阅读更多

下载后可阅读完整内容，剩余1页未读，立即下载

评论收藏

内容反馈

扈涧盛

粉丝: 25
资源: 319

Axublog 1.1.0 c_login.php存在sql注入漏洞1

评论0

最新资源

Axublog 1.1.0 c_login.php存在sql注入漏洞1

评论0

dy_1.1.0_230521_2.apk

dy_1.1.0_230502_4.apk

Japan TV Live_1.1.0_apkcombo.com.apk.1.1.1

Keil.STM32F1xx_DFP.1.1.0.pack

MDK物联网.zip

libraries_v120_x64_py27_1.1.0.tar.bz2(3)

ibraries_v140_x64_py35_1.1.0.tar.bz2(part2)

libraries_v120_x64_py27_1.1.0.tar.bz2(2)

tigervnc-server-1.1.0-24.el6.x86_64.rpm

Keil.STM32WLxx_DFP.1.1.0.pack

Keil.STM32G0xx_DFP.1.1.0.rar

libraries_v140_x64_py35_1.1.0.tar.zip

Keil.STM32WBxx_DFP.1.1.0.pack

Keil.STM32G4xx_DFP.1.1.0.pack

pytorch-1.1.0-py3.6_cuda10.0.130_cudnn7.5.1_0.tar.bz2

oaid_sdk_1.1.0.zip (最新版)

libraries_v140_x64_py27_1.1.0.tar.bz2 zip压缩包版（part 1 of 2）

Redhat6 tigervnc tigervnc-server rpm安装包

php+mysql期末作业小项目

基于PHP+MySQL+Apache在线考试管理系统（附源码）

php用户管理系统（简单）

彩票网站源码_php彩票源码程序,彩票系统全套源码php

ChatGPT商业版网站源码，php编译，支持收费功能

基于PHP民宿管理系统设计与实现（完整源码+数据库+文档）

自主研发的软著申请代码文档整理输出工具

PHP-在校学生成绩管理系统-源码

小狐狸CHATGPT智能问答AI创作系统v1.6.4 PHP源码

php生成PDF电子合同签名

会员管理系统源码 php语言开发 可用于美容店，理发店，服装店，美甲店，奢侈品店等等 功能介绍： 1.常用功能 会员登记，会员充

最新资源

会员管理系统源码 php语言开发可用于美容店，理发店，服装店，美甲店，奢侈品店等等功能介绍： 1.常用功能会员登记，会员充