在本地搭建服务器,httpd-vhosts.conf 中设置本地绑定的域名:
其中,zzzphp为下载的zzzphp cms的内容。
然后,本机上的zzzphp cms的目录结构为如下:
在按照要求安装好cms后,本地cms的后台地址访问地址为admin264.
在登陆后台后,使用postman发送如下请求:
必须在cookie中设置登陆服务器后返回的cookie值,否则执行将失败:
该cookie值在成功登陆服务器后台后会自动获得。
在postman中绑定cookie之后,发送请求:
http://[本地绑定的域名]/[后台地址]/save.php?act=content
需要注意的是,需要在act中传参数act=content。
使用post传的参数中其他都是无关项,但是c_content为关键项。
c_content参数需要先使用单引号和括号闭合语句,然后插入想要执行的sql语句,
这里c_content的值为content’,1,9);create database kaixinjiuhao;//
开始在phpstorm中进行跟踪:
可以看见此时$act=”content”,继续跟进:
然后在phpstorm中跟踪,跟踪到save_content()方法:
其中getform函数为获得我们之前通过post提交的各种参数,需要注意的是$c_content参数
此时,$c_content参数的取值貌似被转义,但是不用着急,往下看。
在第299行,$c_pagedesc参数在post不传值的情况下,成功获得我们输入的$_content的值,并且该值未经过转义:
继续跟踪,在第237行执行db_insert函数,跟进:
然后在在db_insert函数的第243行执行db_exec函数,继续跟进:
最后$d->exec($sql)执行命令。
最后postman返回消息:
继续往下执行,postman接收到返回回来的数据:
可见命令执行成功。
最后,可以成功在数据库中找到新创建的kaixinjiuhao数据库:
证明sql语句执行成功。
同理,save_content()函数中的$c_title2同样在post请求未传值时从$c_title处获取值,也存在sql注入的风险。