您好!欢迎来到北极熊
网站首页 手机版 网站公告 帮助中心 工单管理
管理中心

北极熊

热门搜索: 任正非传    神雕侠侣    红楼梦   
免费发布需求
免费发布任务 建立自助交易 免费发布商品
全部商品分类
首页 源码/交易 服务市场 程序/素材 游戏/交易专区 域名/转让 安全/技术 商家风采 任务大厅 手机版

Discuz! X系列全版本后台Sql注入漏洞

分类:软件开发应用 时间:2019-12-19 12:10 浏览:642
概述
Discuz! X系列全版本后台Sql注入漏洞
内容

1.jpg

原创作者: kn1f3@无糖信息阿斯巴甜攻防实验室 && kn1f3@PKAV

后台注入,有一点鸡肋的漏洞,唯一的利用场景就是利用 mysql的
into outfile 来getshell。

利用条件:
    1.知道网站的绝对路径
    2.secure_file_priv的值为空
2.jpg
后台-站长-uc设置

3.jpg


UCenter 应用 ID填入exp
1' union select 'abc'  into outfile 'c:6.txt' -- a
4.jpg
然后提交


评论
资讯正文页右侧广告
全部 技术交流 软件开发应用 人工智能与机器学习
点击排行
联系我们
电话:18936411277
邮箱:1044412291@qq.com
时间:09:00 - 19:00
公众号:北格软件

微信小程序|北极服务平台

手机APP下载
底部广告