会员
周边
捐助
新闻
博问
闪存
赞助商
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
Dust to Dust
博客园
首页
新随笔
联系
订阅
管理
2020年9月24日
emlog6.0代码审计
摘要: 后台SQL注入 漏洞位于 /admin/configure.php 的46 行,可以看到这里未对 ip 进行过滤  跟进 delCommentByIp  直接接入了 sql语句中 利用方法  根据 ip进行删除评论,抓包后修改 ip  不能直接构造 POC  有个认证信息 后台还有一个注入是在 /admin/configure.php  未对 tag 进行过滤,取 $tags 数组...
阅读全文
posted @ 2020-09-24 02:08 Zahad003
阅读(271)
评论(0)
推荐(0)
编辑
公告